Uudistettu määräys viestintäverkon kriittisistä osista
Kansallinen taso
Liikenne- ja viestintävirasto uudisti viestintäverkon kriittisistä osista antamansa määräyksen vuoden 2025 aikana. Uudistettu määräys annettiin 19.12.2025 ja se laajentaa sääntelyn koskemaan tietyiltä osin myös 5G-verkon tukiasemia. Teleyritysten on jatkossa tunnistettava 5G-verkon kriittiset osat, kuten tukiasemat, arvioitava niiden keskeisyys ja merkittävyys, sekä dokumentoitava arviot. Määräys ohjaa teleyrityksiä ja määräyksen soveltamisalaan kuuluvia paikallisverkkotoimijoita nykyisten ja tulevien verkkosukupolvien suunnittelussa, verkkolaitteiden hankinnassa, verkkojen rakentamisessa, verkkojen ylläpidossa ja verkkojen hallinnoimisessa.
Määräyksessä viestintäverkkojen kriittiset osat määritellään teknologianeutraalisti, eli määräys koskee kaikkia erilaisia viestintäverkkoteknologioita. Määräyksessä asetetaan velvoitteita tunnistaa ja dokumentoida viestintäverkkojensa kriittiset osat ja niissä käytetyt komponentit. Velvoitteet koskevat teleyritysten yleisten viestintäverkkojen lisäksi myös kriittisiä erillisverkkoja kuten ydinvoimaloiden, satamien sekä lentokenttien ja muiden yhteiskunnalle elintärkeiden toimijoiden yleiseen viestintäverkkoon liitettyjä verkkoja.
Määräys ei itsessään poista laitteita tai kiellä kategorisesti minkään tietyn laitevalmistajan käyttöä. Se määrittelee, mihin verkon osiin sähköisen viestinnän palveluista annetun lain tarkoittama poistomääräys voi ainakin kohdistua.
Uusi määräys tulee voimaan 19.12.2026.
EU-taso
Kyberturvallisuuslaki tuli voimaan 8.4.2025. Eduskunta hyväksyi alkukeväästä hallituksen esityksen kansalliseksi kyberturvallisuuslaiksi, jolla pannaan täytäntöön EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi). Julkishallinnon osalta direktiivin vaatimukset on sisällytetty lakiin julkisen hallinnon tiedonhallinnasta.
Kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa useiden yhteiskunnan toiminnan kannalta kriittisten toimialojen osalta. NIS 2 -direktiivi korvasi aiemman EU:n verkko- ja tietoturvadirektiivin.
NIS 2 -direktiivissä ja sitä koskevassa kansallisessa kyberturvallisuuslaissa osoitetaan yhteiskunnan kriittisille toimialoille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoite merkittävistä poikkeamista. Laissa on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintaansa kohdistuvia kyberturvallisuusriskejä. Toimijoiden tulee myös ilmoittaa valvovalle viranomaiselleen merkittävistä tietoturvapoikkeamista. Näiden lisäksi NIS2-sääntelyn soveltamisalaan kuuluvien toimijoiden on ilmoittauduttava oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon.
Traficomin lisäksi kyberturvallisuuslakia sektorikohtaisia valvovia viranomaisia on yhteensä kuusi kappaletta, joista täysin uusina Turvallisuus- ja kemikaalivirasto Tukes, Ruokavirasto sekä Lääkealan turvallisuus- ja kehittämiskeskus Fimea. Vuoden 2026 alusta valvoviin viranomaisiin tuli muutoksia Lupa- ja valvontaviraston ja Elinvoimakeskuksen aloitettua toimintansa.
Lisäksi Kyberturvallisuuskeskus toimii kyberturvallisuuslain keskitettynä yhteyspisteenä mm. koordinoiden valvovista viranomaisista koostuvaa viranomaisyhteistyöryhmää.
Osana koordinointiroolia Traficomissa on laadittu suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä. Suosituksen tavoitteena on yhdenmukaistaa kansalliseen sääntelyyn liittyvää ohjausta, neuvontaa ja valvontaa. Toimialojen eroista johtuen suosituksessa ei kuitenkaan käsitellä toimialakohtaisia erityispiirteitä. Suositus on kohdistettu kansallista sääntelyä valvoville viranomaisille, mutta se tukee myös lainsäädännön soveltamisalaan kuuluvien toimijoiden omaa kyberturvallisuuden riskienhallinnan suunnittelua.
Kyberturvallisuuskeskuksessa toimii myös kyberturvallisuuslain mukainen tietoturvaloukkauksiin reagoiva ja niitä tutkiva CSIRT-yksikkö (Computer Security Incident Response Team).
Kyberturvallisuuskeskuksen verkkosivuille on toteutettu keskitetty NIS2-poikkeamailmoituslomake, jota kaikki kyberturvallisuuslain piiriin kuuluvat toimijat voivat käyttää merkittävästä poikkeamasta ilmoittamiseen omalle valvovalle viranomaiselleen. Ilmoituksen lähettäjä voi myös halutessaan pyytää CSIRT-yksiköltä tukea poikkeaman selvittämiseen sekä toimittaa luottamuksellisesti asiaa koskevia lisätietoja CSIRT-yksikölle.
NIS2-direktiivin täytäntöönpanoon kuuluu myös tiivis EU-tason yhteistyö mahdollisimman yhdenmukaisen täytäntöönpanon varmistamiseksi unionissa. Viraston asiantuntijat ovat osallistuneet aktiivisesti eri NIS-työryhmiin EU:n tasolla.
Kyberkestävyyssäädöksen (CRA) valmistelu etenee
Kyberkestävyyssäädöksellä asetetaan kyberturvallisuuden vähimmäisvaatimukset digitaalisen elementin sisältäville laitteille ja ohjelmistoille, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Tavoitteena on luoda puitteet turvallisten tuotteiden ja ohjelmistojen kehittämiselle, vähentää haavoittuvuuksien määrää ja parantaa tuotteiden turvallisuuden tasoa koko tuotteen elinkaaren ajan. Toisena tavoitteena on parantaa kuluttajien tietoisuutta markkinoilla olevien laitteiden ja ohjelmistojen kyberturvallisuusnäkökohdista. Kyberkestävyyssäädöksen tavoitteita täydentää osaltaan radiolaitedirektiivi ja sen tietoturvavaatimukset, jotka markkinoille saatettavien laitteiden on täytettävä 1.8.2025 lähtien.
Kyberkestävyyssäädöksen eri velvoitteet tulevat porrastetusti voimaan ja sen ensimmäiset velvoitteet tulevat sovellettavaksi vuonna 2026. Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 11.6.2026 lähtien. Haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 11.9.2026 lähtien ja tämä velvoite koskee jo EU:n markkinoilla olevia, CRA:n soveltamisalaan lukeutuvia tuotteita. Asetuksen mukaisten kyberturvallisuusvaatimusten täyttyminen on markkinoille pääsyn edellytys EU:ssa 11.12.2027 lähtien.
Hallituksen esitys kyberkestävyysasetusta täydentävistä kansallisista säännöksistä (HE 179/2025 vp) eteni eduskunnalle marraskuussa. Kyberkestävyyssäädös on asetuksena suoraan sovellettava mutta vaatii kansallista täydentävää sääntelyä erityisesti valvonnan ja sen edellyttämien viranomaistehtävien järjestämiseksi sekä hallinnollisten seuraamusten osalta. Liikenne- ja viestintävirasto on osallistunut tiiviisti säädöksen EU-tason valmisteluun kuin myös kansalliseen täytäntöönpanoon ministeriön tukena. Liikenne- ja viestintävirasto on käynyt aktiivisesti keskusteluita toimialan kanssa ilmoitettujen laitosten tehtävistä uudessa sääntelykehikossa. Kansallisessa toimeenpanossa halutaan varmistaa, että CRA:n mukaisia ilmoitettuja laitoksia on riittävästi vaatimusten soveltamisen alkuvaiheessa. Tällä halutaan turvata suomalaisten valmistajien tuotteiden markkinoille pääsy.
Kyberturvallisuusstandardointi EU:ssa on täydessä vauhdissa.Eurooppalaiset standardointijärjestöt ETSI, CEN ja CENELEC valmistelevat CRA:ta koskevia yhdenmukaistettuja standardeja komission standardointipyynnön mukaisesti. Liikenne- ja viestintäviraston kyberturvallisuuskeskuksessa seurataan standardointityön etenemistä mm. sidosryhmille avoimen Tietoturvallisuuden standardointiverkoston merkeissä. Ensimmäiset standardit ehtivät lausuntokierrokselle vuoden 2025 lopussa.
- EU:n kyberturvallisuusasetuksen (CSA) uudistaminen käynnissä
- Kyberturvallisuusasetus määrittelee EU:n kyberturvallisuusvirasto ENISAn tehtävät sekä menettelyt, joilla EU:ssa valmistellaan ja otetaan käyttöön yhteisiä kyberturvallisuussertifiointijärjestelmiä. Vuonna 2019 voimaan tulleen asetuksen 5-vuotisarviointi eteni vuoden 2025 aikana, hieman alkuperäistä aikataulua jäljessä. Traficomin Kyberturvallisuuskeskus osallistui asetuksen muutostarpeiden arviointiin käymällä vuoropuhelua muiden EU-jäsenvaltioiden ja sidosryhmien kanssa sekä tukemalla ministeriötä. Euroopan komission odotetaan antavan ehdotuksensa päivitetystä kyberturvallisuusasetuksesta vuoden 2026 alussa.
- Kyberturvallisuuskeskus toimii Suomessa kansallisena kyberturvallisuussertifioinnin viranomaisena. Keskus vastaa kyberturvallisuusasetuksen mukaisten sertifiointien valvonnasta sekä korkean varmuustason sertifikaattien myöntämisestä. Vuonna 2025 Kyberturvallisuuskeskus jatkoi valvontakäytäntöjen kehittämistä ja osallistui aktiivisesti EU-tason sertifiointijärjestelmien valmisteluun. Vuoden aikana käynnistyi kahden uuden sertifiointijärjestelmän valmistelutyö, joista toinen koskee EU:n digitaalista identiteettilompakkoa (EUDIW) ja toinen tietoturvapalveluja (EUMSS).
- Sertifiointiviranomaisen toimintaa koskevaa täydentävää kansallista sääntelyä koskeva hallituksen esitys (HE 179/2025 vp) eteni eduskunnan käsiteltäväksi marraskuussa 2025. Sääntely sisältyi samaan hallituksen esitykseen EU:n kyberkestävyyssäädöksen kansallista toimeenpanoa koskevan sääntelyn kanssa.
Muut sääntelykokonaisuudet
Tekoälyasetus
EU:n tekoälyasetus astui voimaan 1.8.2024 ja asetus pannaan täytäntöön vaiheittain. Asetuksen tarkoituksena on varmistaa, että EU:n alueella markkinoille tuotavat ja käyttöönotettavat tekoälyjärjestelmät eivät vaaranna ihmisten terveyttä, turvallisuutta tai perusoikeuksia. Asetuksessa säädellään tekoälyjärjestelmiä niiden aiheuttamien riskien perusteella. Erittäin haitalliset tekoälyn käyttötavat kielletään ja tietyille korkeariskiseksi luokiteltaville tekoälyjärjestelmille asetetaan tiukennettuja vaatimuksia.
Erityisesti Kyberturvallisuuskeskuksen näkökulmasta kansallisessa toimeenpanossa on mielenkiintoista useat uudet viranomaistehtävät sekä yhtymäkohdat ja keskinäisriippuvuudet esimerkiksi kyberkestävyyssäädöksen kanssa. Ensimmäisessä vaiheessa toimeenpantiin tekoälyasetuksen viranomaistehtävät lailla eräiden tekoälyjärjestelmin valvonnasta (1377/2025). Laki on ollut voimassa 1.1.2026 lähtien. Tekoälyasetuksen mukaisia viranomaistehtäviä on tulossa myös Kyberturvallisuuskeskukselle, kun keskuksessa aletaan valvoa suuriskisten tekoälyjärjestelmien käyttöä kriittisen digitaalisen infrastruktuurin turvakomponenttina.
Täytäntöönpanon toisessa vaiheessa on valmisteltu sääntelyn testiympäristöä ja kansallisen suuririskisten tekoälyjärjestelmien rekisteriä koskevaa täydentävää lainsäädäntöä, ja Kyberturvallisuuskeskus on osallistunut hallituksen esityksen valmisteluun. Kyberturvallisuuskeskus on seurannut myös tekoälyasetuksen yhdenmukaistettujen standardien valmistelua erityisesti asetuksen suuririskisten tekoälyjärjestelmien kyberturvallisuusvaatimusten osalta.
EU:n kybersolidaarisuussäädös
EU:n kybersolidaarisuussäädöksen tavoitteena on vahvistaa EU:n valmiuksia havaita merkittäviä ja laajamittaisia kyberturvallisuusuhkia ja -hyökkäyksiä sekä valmistautua ja reagoida niihin. Säädökseen sisältyy eurooppalainen kyberturvallisuuden hälytysjärjestelmä, joka koostuu eri puolilla EU:ta yhteenliitetyistä kansallisista ja rajat ylittävistä kyberturvallisuuskeskittymistä, sekä kattava kyberturvallisuuden hätämekanismi, jolla parannetaan EU:n kyberuhkien sietokykyä.
EU:n kybersolidaarisuussäädös tuli voimaan 4. helmikuuta 2025. Liikenne- ja viestintävirasto on osallistunut vuoden 2025 aikana yhdessä muiden jäsenvaltioiden viranomaisten kanssa keskusteluihin säädöksen eri osien täytäntöönpanemiseksi. Liikenne- ja viestintävirasto on selvittänyt muun muassa niin kansallisella tasolla kuin kumppanimaiden kanssa erilaisia toteutusvaihtoehtoja sääntelyn tarkoittamista rajat ylittävistä toiminnoista eli ns. turvallisuusoperaatiokeskusten muodostamista konsortioista.
Viestintäverkkojen turvallisuus
Liikenne- ja viestintävirasto on osallistunut vuoden 2025 tiiviisti eri EU-tason työryhmiin, joissa käsitellään viestintäverkkojen turvallisuutta. NIS 5G-alatyöryhmässä on seurattu jäsenvaltioiden 5G-keinovalikoimaa koskevia täytäntöönpanotoimia erityisesti sääntelyn saralla. Euroopan komission merikaapeliasiantuntijaryhmässä on mm. kartoitettu merenalaiseen infrastruktuuriin kohdistuvia riskejä sekä pyritty löytämään yhteisiä EU-tason suuntaviivoja ja keinoja merikaapeleiden resilienssin ja turvallisuuden parantamiseksi (ml. NIS2- ja CER-direktiivien kansallinen toimeenpano).
eIDAS
Vuonna 2024 voimaan tulleen uudistetun eIDAS-asetuksen johdosta tulee kaikkien EU:n jäsenmaiden tarjota kansalaisilleen digitaalisen identiteetin lompakko vuoden 2026 loppuun mennessä. Liikenne- ja viestintävirasto osallistui vuonna 2025 aktiivisesti uudistetun eIDAS-asetuksen nojalla annettavien täytäntöönpanoasetusten sekä kansallisen lainsäädännön sekä teknisen toimeenpanon valmisteluun. Luonnos hallituksen esitykseksi eurooppalaista digitaalista identiteettiä koskevaa asetusta täydentäväksi lainsäädännöksi oli lausunnolla kesällä ja alkusyksyllä 2025. Hallituksen esityksen arvioitu esittelyviikko on 9/2026.
Eurooppalaiset digitaalisen identiteetin lompakot on sertifioitava toiminnallisuutta, kyberturvallisuutta ja tietosuojaa koskevien vaatimusten osalta. Liikenne- ja viestintävirasto toimii Suomessa tarjottavien digitaalisen identiteetin lompakoiden sertifiointijärjestelmän omistajana ja vastaa sertifiointijärjestelmän valmistelusta sekä ajantasaisena pitämisestä. Kansallisen sertifiointijärjestelmän valmistelu aloitettiin vuonna 2025 Liikenne- ja viestintäviraston vetovastuulla Pohjoismaiden ja Baltian maiden yhteisessä projektissa. Yhteistyön tuloksena syntyvää sertifiointijärjestelmää on tarkoitus käyttää Digi- ja väestötietoviraston tarjoaman lompakon sertifioinnissa. Liikenne- ja viestintävirasto on osallistunut myös tulevan EU:n yhteisen digitaalisen identiteetin lompakon kyberturvallisuussertifiointijärjestelmän valmisteluun.
Eurooppalaiset digitaalisen identiteetin lompakot tarkistavat luottavat osapuolet ja niiden tiedot lompakkoon luottavien osapuolten rekisteristä ennen kuin henkilötietoja luovutetaan lompakosta. Komissio on antanut keväällä 2025 täytäntöönpanoasetuksen (EU) 2025/848 lompakkoon luottavien osapuolten rekisteröinnin osalta, jossa määritellään vaatimukset rekisterille ja jossa velvoitetaan jokaista EU:n jäsenvaltiota perustamaan vähintään yksi kansallinen rekisteri vuoden 2026 loppuun mennessä ja ylläpitämään rekisteriä. Liikenne- ja viestintäviraston tehtävänä on perustaa tämä kansallinen rekisteri ja ylläpitää sitä. Vuonna 2025 virasto valmisteli rekisterin toteutusta koskevan esiselvityksen ja toteuttaa rekisterin vuonna 2026.
Liikenne- ja viestintävirasto on eIDAS-asetuksen mukainen valvontaelin ja valvoo Suomessa tunnistus- ja luottamuspalveluiden turvallisuutta Jatkossa virasto toimii myös eurooppalaisen digitaalisen identiteetin lompakon valvontaelimenä sekä uudistetussa eIDAS-asetuksessa tarkoitettuna keskitettynä yhteyspisteenä ja vastaa tietyistä Euroopan komissiolle tehtävistä ilmoituksista.
Arviointilainsäädännön uudistaminen
Kansallisen arviointisääntelyn uudistaminen jatkui 2025 valtionvarainministeriön hankkeessa (VM167:00/2023, Julkisen hallinnon tietojärjestelmien vaatimustenmukaisuuden arvioinnin ajantasaistaminen ja tehostaminen). Uudistus koskee lakia viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011, arviointilaki) sekä lakia tietoturvallisuuden arviointilaitoksista (1405/2011, arviointilaitoslaki). Liikenne- ja viestintävirasto osallistui aktiivisesti HE-luonnoksen valmisteluun työryhmässä, jonka ehdotus HE-luonnokseksi valmistui 23.9.2025. Lakiluonnoksen lausuntokierros alkoi marraskuussa 2025 ja hallituksen esitys on tarkoitus antaa eduskunnalle keväällä 2026.
HE-luonnoksen keskeisimmät muutosehdotukset liittyvät suomalaisten turvallisuuskriittisten ratkaisujen ja tietoturvallisuuden arviointilaitosten elinkeinotoiminnan edistämiseen ja julkishallinnon tietoturvallisuuden ja varautumisen parantamiseen arviointien avulla.
Lakiluonnoksen mukaan salaus-, hajasäteilysuojaus- ja muiden turvallisuuskriittisten ratkaisujen suomalaisilla valmistajilla olisi mahdollisuus hakea itsenäisesti hyväksyntää Liikenne- ja viestintävirastolta. Muutos tukisi valmistajien kilpailuasemaa myös kasvavilla EU:n ja Naton markkinoilla. Tietoturvallisuuden arviointilaitosten toimintamahdollisuuksia puolestaan parannettaisiin joustavoittamalla lisäpätevyyksien hyväksyntämenettelyä. Turvallisuuskriittisten tuotteiden valmistajien ja tietoturvallisuuden arviointilaitosten toiminta liittyy erityisesti turvallisuusluokitellun tiedon sähköisen käsittelyn tietoturvallisuuteen, ja siksi tarjontaan liittyvää luottamusta vahvistettaisiin ehdotusten mukaan hyödyntämällä yritysturvallisuusselvitystä.
Lakiluonnoksessa ehdotetaan valtionhallinnon viranomaisille velvollisuutta arvioida tietojärjestelmänsä ja tietoliikennejärjestelyt vähintään itsearvioinnilla. Riskiarvioinnin ja turvallisuusluokan niin edellyttäessä tulisi hankkia tietoturvallisuuden arviointilaitoksen tai arviointiviranomaisen arviointi. Arviointilaissa ehdotetaan säädettäväksi Pääesikunnan määrätylle turvallisuusviranomaiselle riippumaton arviointitehtävä puolustusvoimien omien järjestelmien arvioinnissa kansallisen tiedon käsittelyssä.
Tietoturvallisuuden arviointilaitokset
Liikenne- ja viestintävirasto on kesällä 2025 päivittänyt ja saattanut ajan tasalle yhteistyössä olennaisten sidosryhmien kanssa tietoturvallisuuden arviointilaitosten ohjauksen ja valvonnan kannalta keskeisen arviointilaitosohjeen (Ohje tietoturvallisuuden arviointilaitoksille Ohjeen tarkoitus on tukea nykyisiä arviointilaitoksia, toimintaa harkitsevia yrityksiä ja arviointilaitosten asiakkaita.
Tietoturvallisuuden arviointilaitosten tarjoamien arviointipalvelujen saatavuus on parantunut merkittävästi, kun vuoden 2025 alussa kolmas arviointilaitos on saanut Liikenne- ja viestintäviraston hyväksynnän tehdä Katakri TL IV ja TL III -arviointeja.