NIS2 Finland: Wat betekent het voor uw organisatie en hoe voldoet u?

NIS2 Finland

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken.

Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Fins recht via de Cybersecurity Wet (Kyberturvallisuuslaki 124/2025), die sinds 8 april 2025 van kracht is. Naast de Cybersecurity wet zijn er 14 wetswijzigingen die de NIS2-richtlijn implementeren, waaronder de Wet tot wijziging van de Wet op informatiebeheer in het openbaar bestuur.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

NIS2 entiteiten

De Finse cybersecurity wet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Finland geregistreerd zijn en die producten en/of diensten leveren in een EU-land. De Finse cybersecurity wet komt grotendeels overeen met de Europese NIS2-richtlijn.

De cybersecurity wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Finse cybersecurity wet wanneer:

  • Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet;
  • Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  • Uw organisatie in Finland gevestigd is (m.u.v. aanbieders van openbare elektronische communicatiekanalen en aanbieders van openbaar elektronische communicatiediensten).

Hier vindt u meer informatie om te bepalen of uw organisatie een kleine, een middelgrote dan wel een grote onderneming betreft.

Daarnaast is de wet van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten
  • Verleners van vertrouwensdiensten
  • Beheerders van domeinnaamregisters
  • DNS-providers

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

  • Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden
  • Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid
  • Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken
  • Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren

De Finse cybersecurity wet is niet van toepassing op:

  • De financiële sector (Deze valt in Finland onder de Digital Operational Resilience Act (DORA)).
  • Bedrijven waarvan de activiteiten in kritieke sectoren slechts sporadisch en beperkt zijn.

De entiteiten die onder het regelgevingskader vallen, worden gecategoriseerd als essentiële of belangrijke entiteit, afhankelijk van hun omvang, sector en kritieke aard. Een overzicht hiervan is te vinden in de begeleidende tabel van het NCSC-FI (in het Fins). 

Wat betekent dit voor mijn bedrijf?

1. Registratie

De toezichthoudende autoriteit dient een lijst bij te houden van de essentiële en belangrijke entiteiten onder haar bevoegdheid. Wanneer uw organisatie binnen de scope van de Finse cybersecurity wet valt, dient u uw organisatie te registreren bij de desbetreffende toezichthoudende autoriteit voor 8 mei 2025. In het geval uw organisatie actief is in meerdere sectoren, dient u zich te registeren bij de toezichthoudende autoriteit van elke sector. Iedere autoriteit beschikt over een eigen registratieprocedure. De registratieplicht geldt voor alle entiteiten die onder het NIS2-regelgevingskader vallen.

De entiteiten dienen volgende de relevante autoriteit(en) te voorzien van volgende informatie:

  • Naam van de entiteit
  • Adres, e-mailadres, telefoonnummer en andere contactgegevens
  • IP-adresbereik
  • Sector en subsector
  • Classificatie van de entiteit
  • Lijst van lidstaten waar de entiteit diensten verleent dien onder NIS2 vallen
  • Informatie over deelname aan vrijwillige regeling voor het delen van cybersecurity informatie

Wijzigingen in bovenstaande gegevens dienen onmiddellijk en binnen de 2 weken na de wijziging gemeld worden.

Entiteiten die binnen het bevoegdheidsdomein van Traficom vallen, kunnen zich via het online platform registreren. Elke autoriteit heeft een eigen online platform, indien reeds beschikbaar waarop de entiteit zich kan registreren.

2. Beheersmaatregelen (Art. 9)

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:

  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Beleid voor risicoanalyse en beveiliging van communicatienetwerken en informatiesystemen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beveiliging van toeleveringsketen
  • Beveiligingsaspecten ten aanzien van het beheer van activa
  • Beveiligingsaspecten ten aanzien van personeel, cyberhygiëne en cyberbeveiligingstraining
  • Beveiligingsaspecten ten aanzien van toegangsbeleid en authenticatieprocedures
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer en indien nodig, het gebruik van beveiligde back-upsystemen
  • Informatiebeveiligingsmaatregelen om de veiligheid van de bedrijfsvoering, telecommunicatie, hardware, software en datasets te waarborgen
  • Maatregelen om de veiligheid van de fysieke omgeving en faciliteiten van communicatienetwerken en informatiesystemen en de benodigde middelen te waarborgen.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

Meer informatie omtrent beheersmaatregelen kan u hier vinden.

3. Rapportageverplichting van significante incidenten

Belangrijke en essentiële entiteiten zijn verplicht de toezichthoudende autoriteiten in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een significant incident wordt volgens de NIS2-wet gedefinieerd als ‘elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat: 

  • een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of 
  • andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken’.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld via de e-service van Traficom volgens volgende procedure: 

  1. onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen; 
  2. onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident; 
  3. op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in; 
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van: 
    1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan; 
    2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid; 
    3. Toegepaste en lopende risicobeperkende maatregelen;
    4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden via de e-service.  

Meer informatie omtrent incident meldingen kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management (Art. 10)

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de cybersecurity wet en dienen verschillende verplichtingen na te komen waaronder:

  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
  • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving? (Art. 30)

Zoals aangegeven in het hoofdstuk ‘Sancties’ voeren de bevoegde autoriteiten inspecties uit bij de essentiële en belangrijke entiteiten op de naleving van de cybersecurity wet.

De bevoegde autoriteit kan de entiteit verplichten een onafhankelijke audit te laten uitvoeren door een geaccrediteerde CAB. Op basis van deze onafhankelijke conformiteitsbeoordeling kan de entiteit een  certificaat behalen, waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders. Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is ISO/IEC 27001.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

 

Handhaving en sancties (Art. 38)

De bevoegde autoriteit voert inspecties uit op de naleving door cyber security entiteiten van de vereisten zoals bepaald in de cybersecurity wet. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Finse cybersecurity wet, voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de uitvoering van leidinggevende functies tijdelijk verbieden, de entiteit verplichten bepaalde maatregelen te treffen enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële en tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit. Deze administratieve boetes worden opgelegd door een sanctiecommissie op basis van het advies van de toezichthoudende autoriteit. De publieke sector kan geen boete opgelegd worden.

Deadlines

  • 8 april 2025: Finse cybersecurity wet treedt in werking
  • 8 mei 2025: entiteit dient zich te registreren bij de bevoegde autoriteit
  • 8 juli 2025: entiteit dient een cybersecurity risicobeheersysteem op te zetten

Bevoegde autoriteiten (Art. 18, 26)

In het kader van de implementatie van de NIS2-wet in Finland zijn verschillende bevoegde autoriteiten aangewezen die toezicht houden op de naleving van cybersecuritymaatregelen binnen hun respectieve sectoren.

Het Nationaal Cyber Security Centrum Finland (NCSC-FI) van het Finse Transport- en Communicatieagentschap (Traficom) is aangewezen als het centrale contactpunt, welke een coördinerende rol bekleedt en de samenwerking tussen de diverse sectorale toezichthoudende autoriteiten bevordert. Daarnaast vervult het Cybersecuritycentrum de taak van nationale CSIRT, dat ondersteuning biedt bij de afhandeling van ernstige informatiebeveiligingsincidenten.

Naast het centrale contactpunt kent Finland een aantal sectorspecifieke toezichthoudende autoriteiten, elk verantwoordelijk voor het naleven van de NIS2-wetgeving binnen hun eigen sector. Deze autoriteiten houden toezicht op zowel essentiële als belangrijke entiteiten en beschikken over bevoegdheden zoals audits, het geven van bevelen, waarschuwingen en het opleggen van sancties. Een overzicht van de toezichthoudende autoriteiten en hun verantwoordelijkheidsgebieden is beschikbaar op de officiële website van het Finse Cybersecuritycentrum. Het betreft:

  • Het Finse Agentschap voor Transport en Communicatie (Traficom)
  • De Energieautoriteit
  • Het Finse Agentschap voor Veiligheid en Chemicaliën
  • Nationale toezichthoudende autoriteit voor welzijn en gezondheid (Valvira)
  • Het Centrum voor Economische Ontwikkeling, Transport en Milieu van Zuid-Savo
  • De Finse Voedselautoriteit
  • Het Finse Geneesmiddelenagentschap (Fimea)