Med rekommendationen konkretiseras de riskhanteringsskyldigheter för cybersäkerheten som anges i den nationella regleringen som baserar sig på NIS2-direktivet. Av aktörer som omfattas av regleringens tillämpningsområde krävs hantering av cyberrisker mot säkerheten i kommunikationsnät och informationssystem samt förebyggande eller minimering av skadliga konsekvenser. Rekommendationen omfattar information och praktiska exempel på åtgärder som de lagstadgade kraven kan omfatta.
Rekommendationen är avsedd för myndigheter som utövar tillsyn över den nationella regleringen men den stöder även planeringen av åtgärderna för aktörernas egen planering av hantering av cybersäkerhetsrisker. Aktörer som inte omfattas av tillämpningsområdet kan också utnyttja grundläggande informationssäkerhetsrutiner för att kunna bedöma och förbättra mognadsnivån för sin egen organisations cybersäkerhet.
Syftet med rekommendationen är att förenhetliga vägledningen, rådgivningen och tillsynen för den nationella regleringen. Med anledning av skillnaderna på de olika sektorerna omfattar rekommendationen dock inte några sektorspecifika särdrag.
Rekommendationen har utfärdats som en del av myndighetssamarbetet och samordningsuppgiften som Transport- och kommunikationsverket fått som en gemensam kontaktpunkt. Rekommendationen baserar sig på cybersäkerhetslagen (124/2025) och på ändringarna i lagen om informationshantering inom den offentliga förvaltningen (125/2025).
Bilagor:
- Suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä.pdf
- Rekommendation till NIS-övervakande myndigheter om åtgärder för riskhantering.pdf
- Recommendation on cybersecurity risk management measures for NIS supervisory authorities.pdf
- Ändringar som gjorts i rekommendationen (på finska)
- Sammandrag av utlåtanden om utkastet till rekommendationen
- Korsreferenstabell