NIS2 in Finnland

Leitfaden zur NIS2-Umsetzung und -Compliance in Finnland.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Finnland stärkt sein nationales Cybersicherheitsrahmenwerk, um es an die verschärften Pflichten der NIS2‑Richtlinie anzupassen. Das aktualisierte Regime erweitert die sektorale Abdeckung, formalisiert die Verantwortung auf Ebene des Leitungsorgans und stärkt Melde- und Aufsichtsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2‑Compliance‑Anforderungen in Finnland für KMU, die in erfassten Sektoren tätig sind.

1. Schnellüberblick zur Anwendbarkeit für KMU in Finnland

Gilt NIS2 für KMU in Finnland?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Finnland niedergelassene Unternehmen und in bestimmten Fällen für ausländische digitale Anbieter, die den finnischen Markt bedienen.

KMU sollten ihre Einstufung nach dem nationalen finnischen Cybersicherheitsregime anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die NIS2‑Umsetzung in Finnland

Finnland setzt die Richtlinie durch Änderungen am Gesetz über Informationssicherheit in der öffentlichen Verwaltung und kritischen Infrastrukturen um, das die nationalen Cybersicherheitspflichten regelt.

Die überarbeitete Gesetzgebung bringt das finnische Regime in Einklang mit der Richtlinie (EU) 2022/2555 und verschärft die Pflichten in den Bereichen Risikomanagement, Governance, Aufsicht und Sanktionen.

Der Rahmen integriert die Standards der Richtlinie in die in Finnland etablierte sektorbasierte Aufsichtsstruktur und wahrt zugleich die regulatorische Kontinuität.

3. Anwendungsbereich in Finnland

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Der sektorale Anwendungsbereich Finnlands spiegelt die Mindestkategorien der Richtlinie wider, ohne bestätigte Ausweitungen über die Basis hinaus.

4. Größenschwellen und Anwendbarkeit auf KMU in Finnland

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Unternehmen, die in erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Klein- und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die gesellschaftliche Stabilität, die öffentliche Sicherheit oder die Aufrechterhaltung wesentlicher Dienste gelten.

Die finnischen Behörden behalten formale Benennungskompetenzen, wenn systemische Risiken oder Erwägungen der nationalen Sicherheit eine Einbeziehung rechtfertigen.

5. Einstufungsrahmen für Unternehmen in Finnland

Unternehmen werden wie folgt kategorisiert:

Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturiertem Compliance‑Monitoring.
Wichtige Einrichtungen — Unterliegen vorrangig einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance‑Bedenken ausgelöst wird.

Die Einstufung basiert auf Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikoprofile eine verstärkte Aufsicht rechtfertigen.

Finnland folgt der zweistufigen Aufsichtsstruktur der Richtlinie innerhalb seines sektorbasierten Regulierungsmodells.

6. Anforderungen an das Cybersicherheits‑Risikomanagement in Finnland

Das nationale Regime Finnlands entspricht dem Basisniveau der Richtlinie für das Cybersicherheits‑Risikomanagement. Erfasste Unternehmen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

Risikoanalyse und Systemschutz
Erkennung und Reaktion auf Sicherheitsvorfälle
Geschäftskontinuität und Krisenmanagement
Risikokontrollen in der Lieferkette gemäß NIS2 in Finnland
Sichere Beschaffung und Entwicklung von IKT‑Systemen
Zugriffskontrolle und Identitätsmanagement
Verschlüsselung und kryptografische Schutzmaßnahmen
Verfahren zum Schwachstellenmanagement
Sensibilisierung und Schulung des Personals zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und dem unternehmensspezifischen Risikoprofil entsprechen. Eine Ausrichtung an ISO/IEC 27001 und finnischen Leitlinien zur Cybersicherheit wird empfohlen.

Die Überwachung der Lieferkette erfordert Lieferanten‑Due‑Diligence und vertragliche Cybersicherheits‑Schutzvorkehrungen.

7. Haftung der Leitungsebene und Governance in Finnland

Leitungsorgane müssen Maßnahmen des Cybersicherheits‑Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Im finnischen Rahmen gilt:

Leitungsorgane sind für die Compliance‑Überwachung verantwortlich.
Die Geschäftsleitung muss für eine angemessene Cybersicherheitskompetenz sorgen.
Verwaltungsrechtliche Sanktionen können Governance‑Versäumnisse ahnden.
Eine befristete Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen an die NIS2‑Leitungshaftung in Finnland heben die Cybersicherheits‑Governance auf Führungsebene.

8. Pflichten zur Vorfallmeldung in Finnland

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als erheblich, wenn er verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	Finnische Transport- und Kommunikationsagentur (Traficom)
Vorfallsmeldung	72 Stunden	Finnische Transport- und Kommunikationsagentur (Traficom)
Abschlussbericht	1 Monat	Finnische Transport- und Kommunikationsagentur (Traficom)

Finnland folgt der Struktur der Richtlinie für die NIS2‑Meldefristen. Sektoraufsichtsbehörden können, soweit relevant, mit Traficom koordinieren.

9. Aufsichtsbehörden und Durchsetzungsmodell in Finnland

Federführende Behörde: Finnische Transport- und Kommunikationsagentur (Traficom).

Finnland betreibt ein sektorbasiertes Aufsichtsmodell, das über Traficom koordiniert wird; die zuständigen Ministerien und Regulierungsbehörden üben in ihren jeweiligen Bereichen Aufsicht aus.

Supervisory powers include:

Auskunftsverlangen
Sicherheitsaudits
Vor-Ort-Kontrollen
Verbindliche Compliance-Anordnungen
Mitwirkung an der EU-Cybersicherheitskoordination

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen der Richtlinie.

10. NIS2‑Geldbußen und Sanktionen in Finnland

Finnland wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Die Durchsetzung von NIS2‑Geldbußen in Finnland kann zudem Folgendes umfassen:

Verbindliche Abhilfemaßnahmen
Öffentliche Benennung nichtkonformer Einrichtungen
Aussetzung von Zertifizierungen oder Genehmigungen
Befugnisse zur Suspendierung von Leitungsfunktionen

11. NIS2‑Lieferkette und Lieferantensicherheit in Finnland

Unternehmen müssen ihr Cybersicherheitsrisiko durch Dritte durch folgende Maßnahmen steuern:

Lieferanten‑Risikobewertungen
Vertragliche Weitergabepflichten für Sicherheitsanforderungen
Laufende Überwachung von IKT‑Lieferanten
Analyse von Konzentrationsrisiken
Maßnahmen zur Eindämmung von Vorfallausbreitung

Der finnische Ansatz entspricht den Basiserwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifikationspflichten in Finnland

Entities within scope must:

Registrierung bei den zuständigen Behörden
Angabe unternehmensbezogener Identifikationsdaten
Angabe der Sektorzuordnung
Aktuelle Kontaktdaten pflegen

Verfahrensfristen richten sich nach dem finnischen Umsetzungsrahmen. Nach aktuellem Stand der Umsetzung folgt Finnland dem Basisrahmen der NIS2‑Richtlinie. Nationale Umsetzungsdetails können spezifische Pflichten präzisieren.

Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Wechselwirkung mit der DSGVO und anderen Gesetzen in Finnland

Die Datenschutz‑Grundverordnung gilt weiterhin parallel.

Aspekte der Überschneidung umfassen:

72‑Stunden‑Meldung bei Verletzungen des Schutzes personenbezogener Daten
Koordinierung der Aufsichtsbehörden
Parallele Untersuchungen zu Cybersicherheit und Datenschutz
Sektorspezifische finnische Cybersicherheitsvorschriften

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Unternehmen mit Hauptniederlassung in Finnland unterliegen für grenzüberschreitende Dienste der Aufsicht durch finnische Behörden.

Ausländische digitale Anbieter, die in Finnland Dienstleistungen erbringen, können je nach Niederlassungsstruktur der finnischen Aufsicht unterliegen.

Vertretungspflichten folgen den Standards der Richtlinie für Nicht‑EU‑Anbieter, die finnische Märkte bedienen.

15. Umsetzungszeitplan in Finnland

Annahme der Richtlinie: 2022
Nationale Gesetzesänderungen: 2024–2025
Inkrafttreten: Mit nationaler Verkündung
Notifizierung an die Kommission: Gemäß EU‑Verfahren
Compliance‑Meilenstein: Richtlinienkonforme Fristen

Der finnische Transpositionszeitplan steht im Einklang mit den EU‑Umsetzungsvorgaben.

16. Zentrale Erkenntnisse für KMU in Finnland

Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
Kleine Einrichtungen können benannt werden, wenn sie betrieblich kritisch sind.
Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
Vorfallmeldungen folgen den Fristen 24h / 72h / 1 Monat.
Finanzielle Sanktionen können €10 Millionen oder 2% des weltweiten Umsatzes erreichen.
Lieferantenrisikomanagement ist eine Kernpflicht.
Frühzeitige Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2‑Leitfaden Finnland für KMU

Gilt NIS2 für kleine Unternehmen in Finnland?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder sind in hochkritischen Sektoren tätig. Mittelgroße Unternehmen, die die Größenschwellen erfüllen, sind automatisch erfasst.

Wie hoch sind die NIS2‑Geldbußen in Finnland?

Für wesentliche Einrichtungen können Geldbußen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Ab wann gilt NIS2 in Finnland?

Finnland ändert seine Cybersicherheitsgesetzgebung im Einklang mit der Richtlinie. Das Inkrafttreten erfolgt mit der nationalen Gesetzesverkündung.

Wer setzt NIS2 in Finnland durch?

Die Finnische Transport- und Kommunikationsagentur (Traficom) fungiert als primäre Aufsichtsbehörde und koordiniert, wo erforderlich, mit den Sektorregulierern.

Können Geschäftsleiter in Finnland nach NIS2 persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Die verwaltungsrechtliche Durchsetzung kann in schweren Fällen die Aussetzung von Leitungsfunktionen umfassen.

Worin unterscheidet sich NIS2 in Finnland von der DSGVO?

NIS2 regelt Cybersicherheitsresilienz und operatives Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall Anwendung finden.

Was gilt nach NIS2 in Finnland als erheblicher Vorfall?

Ein Vorfall, der zu schweren Betriebsstörungen, erheblichen finanziellen Verlusten, gesellschaftlichen Auswirkungen oder grenzüberschreitenden Folgen führt, erfüllt in der Regel die Meldeschwelle.