NIS 2 -tietoturvadirektiivin soveltaminen verkkotunnustoiminnassa | Traficom
Siirry pääsisältöön
Liikenne- ja viestintävirasto

NIS 2 -tietoturvadirektiivin soveltaminen verkkotunnustoiminnassa

Tämä sivu on tarkoitettu verkkotunnusvälittäjille ja DNS-palveluntarjoajille. Lue, mitä velvollisuuksia NIS2-direktiivi asettaa ja mitä sinun tulee tehdä.

Tällä sivulla

Ketä velvoitteet koskevat

NIS2-direktiivi asettaa vaatimuksia verkkotunnustoimintaan. Fi-verkkotunnustoimintaa valvoo Liikenne- ja viestintävirasto Traficom.

Velvoitteet perustuvat:

  • sähköisen viestinnän palveluista annettuun lakiin
  • kyberturvallisuuslakiin DNS-palveluntarjoajien osalta

Kaikkia toimijoita koskevat NIS2-velvoitteet löydät Kyberturvallisuuskeskuksen sivuilta.

Oletko DNS-palveluntarjoaja?

Kaikki verkkotunnusvälittäjät eivät ole DNS-palveluntarjoajia.

DNS-palveluntarjoajalla tarkoitetaan toimijaa, joka tarjoaa:

  • rekursiivisia verkkotunnusten selvityspalveluja internetin loppukäyttäjille tai
  • auktoritatiivisia verkkotunnusten selvityspalveluja kolmansille osapuolille

Jos tarjoat jompaa kumpaa näistä palveluista, sinua pidetään DNS-palveluntarjoajana koosta riippumatta.

DNS-palveluntarjoajan velvollisuudet

Ilmoittaudu toimijaluetteloon

Sinun tulee ilmoittautua toimijaluetteloon, jos toimit DNS-palveluntarjoajana.

Toimi näin:

  • kirjaudu Traficomin verkkotunnuspalvelun välittäjätilille
  • anna pyydetyt tiedot

Huomaa: Ilmoittautuminen toimijaluetteloon on roolikohtaista. Toiminnan luonteesta riippuen saatat olla velvollinen ilmoittautumaan toimijaluetteloon muissakin rooleissa. Lisätietoja rooleista ja ilmoituksen tekemisestä löytyy Kyberturvallisuuskeskuksen sivuilta.

Huolehdi tietoturvasta

Sinun tulee huolehtia riittävästä tietoturvan tasosta.

Traficom valvoo tietoturvaa Kybermittarilla. Traficomin pyytäessä, sinun on täytettävä Kybermittari. Kybermittari perustuu itsearvioon. Tulosten perusteella Traficom voi pyytää lisäselvitystä, päättää asian käsittelyn tai ryhtyä jatkotoimenpiteisiin.

Ilmoita poikkeamista

Sinun tulee ilmoittaa merkittävistä tietoturva- tai toimintavarmuuden poikkeamista.

Aikataulut:

  • ensi-ilmoitus: 24 tunnin kuluessa poikkeaman havaitsemisesta
  • jatkoilmoitus: 72 tunnin kuluessa
  • loppuraportti: viimeistään kuukauden kuluttua jatkoilmoituksen toimittamisesta tai sen käsittelyn päättymisestä.

Traficom voi pyytää myös lisätietoja tai väliraportin.

Käytä NIS2-direktiivin mukaista poikkeamailmoitusta.

Verkkotunnusvälittäjän velvollisuudet

Ilmoittaudu ja anna tiedot

Verkkotunnusvälittäjänä sinun tulee:

  • ilmoittautua NIS2-toimijaluetteloon
  • anna pyydetyt tiedot (esim. IP-osoitteet ja EU:ssa sijaitsevat toimipaikat)

Jos olet fi-verkkotunnusvälittäjä:

  • Kirjaudu Traficomin verkkotunnuspalveluun
  • Anna pyydetyt tiedot

Traficom voi luovuttaa tietoja esimerkiksi Euroopan unionin kyberturvallisuusvirasto ENISAlle tietosuojaselosteen mukaisesti.

Huomaa: Ilmoittautuminen toimijaluetteloon on roolikohtaista. Toiminnan luonteesta riippuen saatat olla velvollinen ilmoittautumaan toimijaluetteloon muissakin rooleissa. Lisätietoja rooleista ja ilmoituksen tekemisestä löytyy Kyberturvallisuuskeskuksen sivuilta.

Tarkista käyttäjätietojen oikeellisuus

Sinun tulee varmistaa, että verkkotunnuksen käyttäjän tiedot ovat oikeellisia.

Voit käyttää esimerkiksi:

  • vahvaa sähköistä tunnistuspalvelua
  • muuta luotettavaa tunnistuspalvelua

Kuvaa käyttämäsi tarkistusmenetelmät ja asetta kuvaus julkisesti saataville, esimerkiksi verkkosivuillesi.

Vastaa tietopyyntöihin

Sinun tulee vastata lainmukaisiin tietopyyntöihin ilman aiheetonta viivytystä, viimeistään 72 tunnin kuluessa pyynnön vastaanottamisesta.

Arvioi

  • tietopyynnön esittäjän oikeus saada tietoja
  • pyyntöä myös tietosuojalainsäädännön näkökulmasta

Julkaise verkkotunnustiedot

Sinun tulee tarjota omilla sivuillasi julkiset tiedot hallinnoimistasi verkkotunnuksista. Vaatimus ei koskea henkilötietoja.

Turvallinen tapa täyttää velvoite, on lisätä linkki Traficomin whois-palveluun.

Fi-verkkotunnusvälittäjien lisävelvoitteet

Fi-verkkotunnusvälittäjänä sinun tulee noudattaa myös Traficomin määräystä M68.

Arvioi tietoturvan taso

Täytä verkkotunnustoiminnan Kybermittari viimeistään 31.1.2026.

Kybermittarilla Traficom valvoo välittäjien tietoturvan tasoa. Traficom voi pyytää sinua täyttämään Kybermittarin myös tämän ajankohdan jälkeen.

Ilmoitta tietoturvahäiriöstä

Sinun tulee ilmoittaa merkittävistä välistystoimintaan kohdistuvista tietoturvahäiriöistä 24 tunnin sisällä häiriön tultua ilmi. Voit täydentää ilmoitusta tarvittaessa.

Tee ilmoitus Traficomin verkkotunnuspalvelussa välittäjätilin kautta löytyvällä tietoturvahäiriö-lomakkeella. 

Tätä määräystä sovelletaan fi- ja ax-päätteisiin verkkotunnuksiin, niiden välittämiseen ja hallinnointiin sekä fi- ja ax-verkkotunnusvälittäjien toiminnanharjoittamiseen.

Tällä määräyksellä kumotaan Viestintäviraston 15. kesäkuuta 2016 antama määräys 68/2016 M.

Verkkotunnusmääräys (Finlex)

Voimaantulopäivä: 18.8.2025

Sivu on viimeksi päivitetty