NIS 2 Status in Finnland
Was die Richtlinie fordert, wie Finnland sie umsetzt, und wo Traficom und das NCSC-FI im Bild stehen.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Finnland, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Finnland muss dieses Niveau in finnisches Recht überführen und eine Aufsicht darunter führen.
Finnland setzt NIS 2 über die Kyberturvallisuuslaki (Cybersecurity Act, Gesetz 124/2025) um. Das Gesetz wurde am 13. März 2025 vom Parlament verabschiedet und trat am 8. April 2025 in Kraft. Damit lag Finnland nach der EU-Frist vom 17. Oktober 2024. Die Europäische Kommission hat am 7. Mai 2025 eine mit Gründen versehene Stellungnahme an Finnland und 18 weitere Mitgliedstaaten geschickt, weil die vollständige Umsetzung nicht rechtzeitig notifiziert war.
Die Aufsicht teilt sich Finnland sektoral. Das Liikenne- ja viestintävirasto Traficom ist die koordinierende Behörde und betreibt das Kyberturvallisuuskeskus (NCSC-FI) als nationales CSIRT und als einheitliche Anlaufstelle nach Artikel 8(3) der Richtlinie. Daneben führen Energiavirasto, Finanssivalvonta und weitere Fachbehörden die Aufsicht in ihren Sektoren.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Finnland unmittelbar anwendbar, ohne nationale Umsetzung.
Finnische Umsetzung
Kyberturvallisuuslaki 124/2025, in Kraft seit 8. April 2025
Die finnische NIS 2 Umsetzung. Ein horizontales Cybersicherheitsgesetz, das Pflichten bündelt, die vorher über mehrere Sektorgesetze verstreut waren. Verordnungen und Leitlinien von Traficom füllen den operativen Detailrahmen.
Kyberturvallisuuslaki 124/2025
Bringt die NIS 2 Pflichten in finnisches Recht. Definiert wesentliche und wichtige Einrichtungen, die Aufsichtsbefugnisse der zuständigen Behörden, Meldepflichten und Sanktionen. Der operative Detail wird über Verordnungen und Traficom-Leitlinien geregelt.
Traficom und NCSC-FI
Traficom koordiniert die NIS 2 Aufsicht und betreibt das Kyberturvallisuuskeskus (NCSC-FI) als nationales CSIRT und einheitliche Anlaufstelle. Sektorale Aufsicht liegt bei den Fachbehörden, etwa Energiavirasto im Energiesektor, Finanssivalvonta im Finanzsektor (wo DORA als Lex specialis greift) und Tukes für Chemie und Öl.
Registrierung und Meldung
Finnische Einrichtungen mussten sich bis 8. Mai 2025 bei ihrer sektoralen Aufsichtsbehörde registrieren. Datenänderungen sind innerhalb von zwei Wochen zu melden. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat, alle Meldungen werden an das CSIRT beim NCSC-FI weitergeleitet.
In Finnland gilt finnisches Recht
Aktivitäten auf finnischem Staatsgebiet folgen der finnischen Umsetzung. Ein deutscher Geschäftsführer mit finnischer Tochter liest für diese Tochter die Kyberturvallisuuslaki, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Aufsicht und Sanktionen stehen aber im finnischen Recht.
Finnland darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Finnland darf strenger werden. Finnland darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Haftung des Leitungsorgans.
Traficom
Liikenne- ja viestintävirasto Traficom ist die koordinierende NIS 2 Behörde und führt direkte Aufsicht über Post- und Kurierdienste, digitale Infrastruktur, Raumfahrt, öffentliche Verwaltung, Managed Service Provider, Forschung sowie Fahrzeug- und Verkehrsmittelherstellung. Sie führt die Liste der NIS 2 Einrichtungen.
NCSC-FI (Kyberturvallisuuskeskus)
Das Nationale Cybersicherheitszentrum innerhalb von Traficom ist nationales CSIRT und einheitliche Anlaufstelle nach Artikel 8(3) der Richtlinie. Alle NIS 2 Vorfallmeldungen, gleich welche sektorale Behörde formal zuständig ist, werden technisch beim NCSC-FI bearbeitet.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für finnische Einrichtungen. Die liegt bei Traficom und den sektoralen Fachbehörden.
Finnland setzt NIS 2 wie Deutschland um, wir können das BSIG lesen.
Die Richtlinienpflichten sind identisch, der Aufbau der Aufsicht ist es nicht. Finnland hat ein einheitliches horizontales Gesetz, die Kyberturvallisuuslaki 124/2025, statt eines ergänzenden BSI-Aufbaus. Aufsicht ist sektoral verteilt, Traficom und NCSC-FI koordinieren. Wer den BSIG-Text auf Finnland überträgt, verfehlt Zuständigkeiten und Meldewege.
Es gibt noch keine offizielle Liste, also können wir warten.
Die Registrierungspflicht gilt seit dem 8. April 2025. Traficom führt die Liste der NIS 2 Einrichtungen und Erstregistrierung war bis 8. Mai 2025 vorgesehen. Wer noch nicht registriert ist, ist nicht im Recht, nur außerhalb der Beobachtung. Artikel 27(2) NIS 2 verlangt zudem Aktualisierungen innerhalb von zwei Wochen nach jeder Datenänderung.
Mein Sektorregulator regelt alles, NCSC-FI ist nur Beratung.
Der sektorale Regulator führt Aufsicht und Audits, das NCSC-FI ist aber Pflichtanlaufstelle für Vorfallmeldungen und einheitliche EU-Anlaufstelle. Eine Frühwarnung läuft technisch beim NCSC-FI auf, auch wenn die formale Aufsicht bei Energiavirasto, Finanssivalvonta oder Tukes sitzt. Wer beim sektoralen Regulator meldet und das NCSC-FI auslässt, verfehlt den Meldepfad.
Die meisten finnischen Mittelstandsbetreiber, die uns begegnen, behandeln NIS 2 noch als IT-Thema. Das stimmt nur zur Hälfte. Aufsicht und Meldekanal liegen sektoral, der Scope ist breiter als unter dem alten finnischen Cybersicherheitsregime und die Verantwortung des Leitungsorgans (toimitusjohtaja, hallitus) schwerer. Das Leitungsorgan haftet persönlich für die Freigabe des Risikomanagements und die eigene Schulung.
Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, beim sektoralen Regulator registrieren und in der Traficom-Liste auftauchen, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Wer das NCSC-FI als technischen Single Point of Contact nutzt, hat den Meldepfad sauber.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine finnische Tochter unter der Kyberturvallisuuslaki, eine deutsche Mutter unter BSIG und eine niederländische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den finnischen Scope startet man mit der Anwendbarkeitsprüfung, dann sektorale Registrierung, Meldetakt über NCSC-FI, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo Traficom oder die Fachbehörden Sektorleitlinien veröffentlichen, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2) — EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Kyberturvallisuuslaki 124/2025 — Finlex
- Traficom — Liikenne- ja viestintävirasto, offizielle Seite zur NIS 2 Umsetzung
- Kyberturvallisuuskeskus (NCSC-FI) — nationales CSIRT und einheitliche Anlaufstelle
- Energiavirasto — sektorale Aufsicht für Strom, Fernwärme und Gas
- Finanssivalvonta (FIN-FSA) — sektorale Aufsicht für Finanzsektor, DORA als Lex specialis
- Europäische Kommission, mit Gründen versehene Stellungnahme vom 7. Mai 2025 zur NIS 2 Umsetzung