Mikä on NIS2-direktiivi?
NIS2-direktiivi (Direktiivi (EU) 2022/2555) on lainsäädäntötoimi, jonka tavoitteena on saavuttaa korkea yhteinen kyberturvallisuuden taso koko Euroopan unionissa.
Jäsenvaltioiden on varmistettava, että kriittiset ja tärkeät toimijat tekevät teknisiä, operatiivisia ja hallinnollisia toimenpiteitä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa. Lainsäädäntö tulee voimaan kansallisessa lainsäädännössä 17. lokakuuta 2024 mennessä.
Mitä NIS2-direktiivi käytännössä tarkoittaa?
NIS2-direktiivin mukaan yrityksen ylin johto on vastuussa kyberturvallisuuden riskienhallinnan toteuttamisesta sekä seurannasta viestintäverkkojen ja tietojärjestelmien osalta. Tärkeimmät kyberturvallisuuden vaatimukset ovat listattu alla:
- NIS2-direktiivi asettaa erityisen painotuksen riskienhallintatoimenpiteisiin. Yritysten on toteutettava ja valvottava kyberturvallisuusriskien hallintaa viestintäverkkojen ja tietojärjestelmien osalta.
- Uusina vaatimuksina direktiivi sisältää fyysisen turvallisuuden raportoinnin, eli yritysten on otettava huomioon myös fyysisiin tiloihin liittyvät turvallisuusriskit.
- Yritysten on ilmoitettava kyberturvallisuustapauksista valvontaviranomaiselle 24 tunnin kuluessa havaitsemisesta, tehtävä yksityiskohtaisempi raportointi 72 tunnin kuluessa ja toimitettava lopullinen raportti kuukauden kuluessa.
- Yritysten on varmistettava kyberturvallisuus ja tarjottava riittävää koulutusta henkilöstölle, jotta he ymmärtävät kyberturvallisuusriskit ja osaavat toimia niiden mukaisesti.
Mitä NIS2-direktiivi muuttaa?
NIS2-direktiivi kattaa laajemman joukon organisaatioita, kuten useita valmistajia ja muita kriittisten alojen toimijoita. Tämä tarkoittaa, että entistä useampien yritysten on noudatettava uusia kyberturvallisuusvaatimuksia. Erityisesti riskienhallintaa painotetaan. Alla on lueteltu merkittävimmät muutokset:
- NIS2-direktiivi kattaa enemmän sektoreita ja yrityksiä
- Yrityksiltä vaaditaan tiukempia tietoturvatoimia ja riskienhallintaa, kuten säännölliset turvallisuusarvioinnit ja haavoittuvuuksien hallinta
- Kansalliset viranomaiset saavat laajemmat valvonta- ja täytäntöönpanovaltuudet, joka sisältää tarkastuksia, määräyksiä ja sakkoja
- Yritysten johdolla on enemmän vastuuta tietoturvan varmistamisesta ja tietoturvakulttuurin edistämisestä organisaatiossa
Keitä NIS2-direktiivi koskee?
NIS2-direktiivin velvoitteet koskevat keskisuuria ja suuria yrityksiä, jotka toimivat kriittisiksi ja muiksi keskeisiksi luokitelluilla aloilla. Lisäksi direktiivi koskee kaikkia kansallisesti toimivia kriittisiä toimijoita, niiden koosta riippumatta. Toimialat ovat luokiteltu erittäin kriittisiin toimialoihin ja muihin kriittisiin toimialoihin.
Erittäin kriittiset toimialat
- Energia
- Pankki- ja finanssiala
- Terveys
- Juoma- ja jätevesi
- Avaruus
- Liikenne
- Julkishallinto
- TVT-palvelujenhallinta
- Digitaalinen infrastruktuuri
Muut kriittiset toimialat
- Elintarvikeala
- Jätehuolto Posti- ja kuriiripalvelut
- Valmistus (esim. tietokoneet, lääkintälaitteet, sähköiset laitteet, muut koneet, ajoneuvot ja perävaunut, muut kulkuneuvot)
- Digitaaliset palvelut
- Tutkimustoiminta
- Kemikaaliteollisuus (valmistus, tuotanto ja jakelu)
Mitä tapahtuu, jos NIS2-direktiiviä ei noudata?
Kyberhyökkäykset voivat jäädä huomaamatta tai käsittelemättä asianmukaisesti, joka voi johtaa merkittäviin tietomurtoihin aiheuttaen taloudellisia menetyksiä, tietojen menetystä ja maineen heikkenemistä.
Kyberhyökkäykset voivat myös häiritä liiketoiminnan jatkuvuutta ja aiheuttaa laajoja toimintahäiriöitä. Lisäksi viranomaiset voivat kohdistaa sanktioita yrityksiin, jotka eivät noudata NIS2-direktiiviä. Seuraukset voivat olla seuraavanlaisia:
- Sakot: Yritykset voivat joutua maksamaan huomattavia sakkoja, jotka voivat olla jopa miljoonia euroja riippuen rikkomuksen vakavuudesta.
- Korjaavat toimenpiteet: Viranomaiset voivat määrätä yrityksiä tekemään toimenpiteitä tietoturvan parantamiseksi, mikä voi aiheuttaa lisäkustannuksia.
- Toimilupien peruutus: Joissakin tapauksissa yrityksen toimilupa voi olla vaarassa, mikäli se ei noudata tietoturvavaatimuksia.
- Oikeudelliset seuraamukset: Rikkomukset voivat johtaa oikeudellisiin toimenpiteisiin, kuten korvausvaatimuksiin asiakkailta ja liikekumppaneilta.
- Maineen menetys: Julkiset sanktiot ja tietoturvaloukkaukset voivat johtaa merkittävään mainehaittaan
Miten valmistautua NIS2-direktiiviin?
Ensimmäinen askel on nykytilanteen arviointi. Yritysten on tunnistettava toimintojen osat, jotka kuuluvat direktiivin piiriin ja mitkä riskit ovat merkittävimpiä.
Tämän jälkeen on laadittava toimintasuunnitelma, joka kattaa kaikki vaaditut toimenpiteet. Johto on avainasemassa varmistamassa, että tarvittavat resurssit ja vastuut ovat selkeästi määriteltyjä.
Kyberturvallisuuskoulutus ja tietoisuuden lisääminen henkilöstössä on myös tärkeää, jotta kaikki ymmärtävät omat roolinsa ja vastuunsa kyberturvallisuuden ylläpitämisessä.
Lopuksi yritysten on luotava selkeät raportointikäytännöt ja valvontamekanismit, jotta ne voivat nopeasti reagoida ja raportoida mahdollisista kyberturvallisuusuhista viranomaisille.
Tärkeimmät askeleet valmistautumisessa NIS2-direktiiviin:
- Arvioi nykyinen kyberturvallisuustilanne ja tunnista riskit
- Laadi toimintasuunnitelma uusien vaatimusten täyttämiseksi
- Varmista johdon sitoutuminen ja resurssien riittävyys
- Järjestä henkilöstölle koulutusta ja lisää tietoisuutta kyberturvallisuudesta
- Ota käyttöön tehokkaat raportointikäytännöt ja valvontamekanismit
Kohti NIS2 valmiutta
Seclan omalta osaltaan on velvoitettu täyttämään NIS2 vaatimukset, joten saamme käytännön kokemusta prosessin läpiviennistä. Koska NIS2 vaatimusten täyttäminen edellyttää merkittävää työpanosta yritykseltä, haluamme jakaa tietoa ja taitoa muiden kesken.
Mikäli NIS2 kiinnostaa organisaatiotanne, kerromme asiasta lisää Alihankintamessuilla 1.-3.10.2024 osastollamme D10. Tervetuloa tapaamaan meitä! Voit myös ottaa suoraan yhteyttä tästä linkistä.