NIS2 in Finnland

1. Schnellüberblick zur Anwendbarkeit für KMU in Finnland

Gilt NIS2 für KMU in Finnland?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Finnland niedergelassene Unternehmen und in bestimmten Fällen für ausländische digitale Anbieter, die den finnischen Markt bedienen.

KMU sollten ihre Einstufung nach dem nationalen finnischen Cybersicherheitsregime anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die NIS2‑Umsetzung in Finnland

Finnland hat die Richtlinie durch das neue eigenständige Cybersicherheitsgesetz (Kyberturvallisuuslaki 124/2025) umgesetzt, das vom Präsidenten am 4. April 2025 ausgefertigt wurde und am 8. April 2025 in Kraft trat — Finnlands erstes konsolidiertes horizontales Cybersicherheitsgesetz, das die bisherigen sektorspezifischen NIS-Vorschriften ersetzt.

Pflichten der öffentlichen Verwaltung werden separat durch Änderungen des Gesetzes über das Informationsmanagement in der öffentlichen Verwaltung geregelt. Das Gesetz richtet Finnlands Regime an der Richtlinie (EU) 2022/2555 auf Mindestumsetzungsniveau aus (kein Gold-Plating) und dezentralisiert die Aufsicht auf sieben sektorspezifische Behörden, koordiniert durch Traficom.

Drei nationale Besonderheiten gelten: Der Finanzsektor ist ausgeschlossen (durch DORA abgedeckt); gegen öffentliche Stellen können keine Bußgelder verhängt werden (staatliche Behörden, Gemeinden, Wohlfahrtsgebiete und ähnliche Stellen); und Bußgelder werden von einem separat eingerichteten Sanktionsausschuss verhängt, der von den Aufsichtsbehörden ernannt wird — nicht direkt von diesen. Die Europäische Kommission gab im Mai 2025 (vor Inkrafttreten) eine begründete Stellungnahme ab; die Vollständigkeit der Notifizierung wird derzeit geprüft.

3. Anwendungsbereich in Finnland

Der sektorale Anwendungsbereich Finnlands spiegelt die Mindestkategorien der Richtlinie wider, ohne bestätigte Ausweitungen über die Basis hinaus.

4. Größenschwellen und Anwendbarkeit auf KMU in Finnland

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Unternehmen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Klein- und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die gesellschaftliche Stabilität, die öffentliche Sicherheit oder die Aufrechterhaltung wesentlicher Dienste gelten.

Die finnischen Behörden behalten formale Benennungskompetenzen, wenn systemische Risiken oder Erwägungen der nationalen Sicherheit eine Einbeziehung rechtfertigen.

5. Einstufungsrahmen für Unternehmen in Finnland

Unternehmen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturiertem Compliance‑Monitoring.
• Wichtige Einrichtungen — Unterliegen vorrangig einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance‑Bedenken ausgelöst wird.

Die Einstufung basiert auf Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikoprofile eine verstärkte Aufsicht rechtfertigen.

Finnland folgt der zweistufigen Aufsichtsstruktur der Richtlinie innerhalb seines sektorbasierten Regulierungsmodells.

6. Anforderungen an das Cybersicherheits‑Risikomanagement in Finnland

Das nationale Regime Finnlands entspricht dem Basisniveau der Richtlinie für das Cybersicherheits‑Risikomanagement. Erfasste Unternehmen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen in der Lieferkette gemäß NIS2 in Finnland
• Sichere Beschaffung und Entwicklung von IKT‑Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Sensibilisierung und Schulung des Personals zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und dem unternehmensspezifischen Risikoprofil entsprechen. Eine Ausrichtung an ISO/IEC 27001 und finnischen Leitlinien zur Cybersicherheit wird empfohlen.

Die Überwachung der Lieferkette erfordert Lieferanten‑Due‑Diligence und vertragliche Cybersicherheits‑Schutzvorkehrungen.

7. Haftung der Leitungsebene und Governance in Finnland

Leitungsorgane müssen Maßnahmen des Cybersicherheits‑Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Im finnischen Rahmen gilt:

• Vorstände tragen Verantwortung für die Compliance-Überwachung.
• Die Geschäftsleitung muss angemessene Cybersicherheitskompetenz sicherstellen.
• Verwaltungssanktionen — verhängt durch einen separat eingerichteten Sanktionsausschuss auf Vorschlag der zuständigen Aufsichtsbehörde — können Governance-Versagen ahnden.
• Befugnisse zur Suspendierung von Geschäftsleitern wurden nicht in das finnische NIS2-Recht übernommen. Persönliche Haftung kann sich aus allgemeinen gesellschaftsrechtlichen Pflichten ergeben, jedoch nicht aus NIS2-spezifischen Vorschriften.

Die Erwartungen an die NIS2‑Leitungshaftung in Finnland heben die Cybersicherheits‑Governance auf Führungsebene.

8. Pflichten zur Vorfallmeldung in Finnland

9. Aufsichtsbehörden und Durchsetzungsmodell in Finnland

Koordinierende Behörde und nationales CSIRT: Traficoms Nationales Cybersicherheitszentrum (NCSC-FI). Traficom fungiert als nationale zentrale Anlaufstelle und Vorfallskoordinator, ist jedoch nicht die primäre Vollzugsbehörde für die meisten Sektoren.

Finnland betreibt ein dezentralisiertes sektorspezifisches Aufsichtsmodell. Sieben benannte Behörden überwachen die Einhaltung in ihren Sektoren: Traficom (Digital/Kommunikation), Energieaufsichtsbehörde (Energie), Finnische Sicherheits- und Chemikalienbehörde / Tukes (Chemikalien), ELY-Zentrum Südsavo (Wasser), Finnische Lebensmittelbehörde / Ruokavirasto (Lebensmittel), Nationale Aufsichtsbehörde für Wohlfahrt und Gesundheit / Valvira (Gesundheit) und Finnische Arzneimittelbehörde / Fimea (Arzneimittel/Medizinprodukte). Jede Behörde führt ihr eigenes Register und ihre eigene Registrierungsplattform.

Supervisory powers include:

• Auskunftsverlangen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Mitwirkung an der EU-Cybersicherheitskoordination

Die Vollzugsstruktur entspricht den Kooperationsanforderungen der Richtlinie. Bußgelder werden von einem separat eingerichteten Sanktionsausschuss auf Vorschlag der zuständigen Aufsichtsbehörde verhängt. Der öffentliche Sektor kann nicht mit Bußgeldern belegt werden.

10. NIS2‑Geldbußen und Sanktionen in Finnland

Finnland wendet richtlinienkonforme Verwaltungssanktionen an. Bußgelder werden von einem separat eingerichteten Sanktionsausschuss auf Vorschlag der zuständigen Aufsichtsbehörde verhängt. Gegen öffentliche Stellen können keine Bußgelder verhängt werden (staatliche Behörden, Gemeinden, Wohlfahrtsgebiete und ähnliche Stellen).

Die Durchsetzung von NIS2‑Geldbußen in Finnland kann zudem Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Bekanntmachung nicht konformer Stellen
• Aussetzung von Zertifizierungen oder Zulassungen
• Befugnisse zur Suspendierung von Geschäftsleitern wurden nicht in das finnische NIS2-Recht übernommen und stehen als Vollzugsinstrument nicht zur Verfügung.

11. NIS2‑Lieferkette und Lieferantensicherheit in Finnland

Unternehmen müssen ihr Cybersicherheitsrisiko durch Dritte durch folgende Maßnahmen steuern:

• Lieferanten‑Risikobewertungen
• Vertragliche Weitergabepflichten für Sicherheitsanforderungen
• Laufende Überwachung von IKT‑Lieferanten
• Analyse von Konzentrationsrisiken
• Maßnahmen zur Eindämmung von Vorfallausbreitung

Der finnische Ansatz entspricht den Basiserwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifikationspflichten in Finnland

Entities within scope must:

• Selbstidentifikation und Registrierung bei der zuständigen sektorspezifischen Aufsichtsbehörde — Frist war der 8. Mai 2025 (verstrichen; noch nicht registrierte Stellen sollten umgehend handeln). Stellen in mehreren Sektoren müssen sich bei jeder zuständigen Behörde registrieren.
• Angabe der Unternehmensidentifikation.
• Offenlegung der Sektorklassifizierung und der von NIS2 erfassten Dienste.
• Kontaktdaten aktuell halten; Änderungen innerhalb von zwei Wochen melden.

Wichtige Compliance-Meilensteine: Registrierungsfrist 8. Mai 2025 (verstrichen); Cybersicherheits-Risikomanagementsystem erforderlich bis 8. Juli 2025 (verstrichen). Jede sektorspezifische Behörde betreibt ihre eigene Registrierungsplattform; Traficoms NCSC-FI bietet Leitfäden und ein Selbstbewertungstool.

Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Wechselwirkung mit der DSGVO und anderen Gesetzen in Finnland

Die Datenschutz‑Grundverordnung gilt weiterhin parallel.

Aspekte der Überschneidung umfassen:

• 72‑Stunden‑Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische finnische Cybersicherheitsvorschriften

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Unternehmen mit Hauptniederlassung in Finnland unterliegen für grenzüberschreitende Dienste der Aufsicht durch finnische Behörden.

Ausländische digitale Anbieter, die in Finnland Dienstleistungen erbringen, können je nach Niederlassungsstruktur der finnischen Aufsicht unterliegen.

Vertretungspflichten folgen den Standards der Richtlinie für Nicht‑EU‑Anbieter, die finnische Märkte bedienen.

15. Umsetzungszeitplan in Finnland

• Annahme der Richtlinie: 2022
• Cybersicherheitsgesetz (124/2025) vom Präsidenten am 4. April 2025 ausgefertigt; im Gesetzblatt Finnlands veröffentlicht.
• Inkrafttreten: 8. April 2025.
• Kommissionsmitteilung: Begründete Stellungnahme der EK vom 7. Mai 2025 (vor Inkrafttreten); Vollständigkeit der Notifizierung wird von der Kommission geprüft.
• Compliance-Meilensteine: Registrierungsfrist 8. Mai 2025 (verstrichen); Cybersicherheits-Risikomanagementsystem erforderlich bis 8. Juli 2025 (verstrichen); Vollzug und Audits laufen.

Finnland hat die Umsetzung am 8. April 2025 abgeschlossen. Alle ersten Compliance-Meilensteine — Registrierung (8. Mai 2025) und Implementierung des Risikomanagementsystems (8. Juli 2025) — sind verstrichen. Die aktive Aufsicht und Durchsetzung läuft bei allen sieben sektorspezifischen Behörden.

16. Zentrale Erkenntnisse für KMU in Finnland

• Mittelgroße Unternehmen in betroffenen Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie operationell kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend. Hinweis: Befugnisse zur Suspendierung von Geschäftsleitern wurden in Finnland nicht übernommen — die Verantwortlichkeit der Geschäftsleitung richtet sich nach allgemeinem Gesellschaftsrecht.
• Vorfallsmeldung erfolgt nach den Fristen 24 Std. / 72 Std. / 1 Monat.
• Finanzsanktionen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes betragen. Bußgelder werden von einem Sanktionsausschuss verhängt, nicht direkt von den Aufsichtsbehörden. Öffentliche Stellen können nicht mit Bußgeldern belegt werden.
• Lieferantenrisikomanagement ist eine Kernpflicht.
• Alle ersten Fristen sind nun verstrichen — Registrierung war am 8. Mai 2025 und Risikomanagementsysteme bis 8. Juli 2025 fällig. Noch nicht konforme Stellen sollten die Behebung umgehend priorisieren.

FAQ: NIS2‑Leitfaden Finnland für KMU