NIS2 on Euroopan unionin uusi kyberturvallisuusdirektiivi, jonka tarkoituksena on parantaa ja yhtenäistää koko EU:n kyberturvallisuuden tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen huomattavasti sen vaatimuksia ja soveltamisalaa. Uuden direktiivin saattaminen osaksi kansallista lainsäädäntöä on tehtävä viimeistään 17.10.2024. Direktiivin vaatimukset koskettavat useita organisaatioita, ja valmistautuminen kannattaa aloittaa hyvissä ajoin.
Mitä toimialoja NIS2 koskee?
Direktiivi koskee automaattisesti kaikkia kriittisten toimialojen toimijoita, jotka työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan euron liikevaihto. Lisäksi direktiivi ulottuu koskemaan kaikkia toimijoita, jotka on kansallisesti määritelty kriittisiksi, riippumatta niiden koosta. Toimialat on jaettu kriittisiin ja muihin kriittisiin toimialoihin tarkemman määrittelyn ja seurannan vuoksi.
Kriittisiä toimialoja:
- Pankki- ja finanssiala
- TVT-palvelun hallinta
- Energia
- Liikenne
- Avaruus
- Digitaalinen infrastruktuuri
- Julkishallinto
- Vesihuolto
- Terveydenhuolto.
Muita kriittisiä toimialoja:
- Elintarvikeala
- Posti- ja kuriiripalvelut
- Jätehuolto
- Digitaaliset palvelut
- Kemikaalisektori
- Tutkimustoiminta
- Valmistava teollisuus.
Mitä vaatimuksia NIS2 asettaa?
NIS2:n myötä vaatimukset riskienhallintatoimenpiteistä sekä olennaisten ja tärkeiden kokonaisuuksien raportoinnista kiristyvät. Direktiivin mukaan jokaisen EU:n jäsenvaltion on varmistettava, että eri toimijat toteuttavat teknisiä, toiminnallisia ja organisatorisia toimenpiteitä verkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi.
Hallinnon vastuu
Direktiivi asettaa toimijoiden hallinnon vastuuseen organisaation kyberturvallisuusriskien hallintatoimenpiteistä, raportointivelvoitteista sekä kyberturvallisuuden toteutuksesta direktiivin vaatimalla tasolla. Vastuu mahdollistaa hallinnolle tietoon perustuvan päätöksenteon. Direktiivin asettamia vaatimuksia eri toimijoiden hallinnolle ovat muun muassa seuraavat:
- Kyberturvallisuusstrategian määrittely
- Kyberturvallisuusriskien hallintatoimenpiteiden hyväksyntä ja valvonta
- Velvollisuus osallistua kyberriskienhallinnan koulutukseen.
Hallintoa voidaan asettaa henkilökohtaisesti vastuuseen direktiivin velvoittamien kyberturvallisuusriskien hallintatoimenpiteiden rikkomisesta.
Kyberturvallisuusriskien hallintatoimenpiteet
Direktiivin vaatimien kyberturvallisuusriskien hallintatoimenpiteiden tulee olla riski- ja suorituskykyperusteisia, eli niiden tason määrityksessä täytyy huomioida muun muassa toimijoiden erilainen altistuminen riskeille sekä toimijan koko. Hallintatoimenpiteiden vaatimukset tarkentuvat direktiivissä, mutta ne sisältävät ainakin seuraavat:
- Riskianalyysit
- Tietojärjestelmien turvallisuuspolitiikat
- Liiketoiminnan jatkuvuuden ja kriisien hallinta
- Toimitusketjujen ja toimittajien turvallisuuden varmistaminen
- Kyberhygieniakäytännöt ja kyberturvatietoisuus
- Tietoturvahäiriöiden käsittely ja raportointivelvoitteet
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus
- Pääsynhallintaperiaatteet
- Omaisuudenhallinta
- Haavoittuvuuksien hallinnan periaatteet
- Henkilöstöturvallisuus
- Tiedon salauksen ja kryptografian periaatteet.
Tietoturvahäiriöiden raportointivelvoite
Toimijoiden on raportoitava tietoturvahäiriöstä, joka vaarantaa tiedon saatavuuden, aitouden tai eheyden valvovalle viranomaiselle. Aikarajat ja vaatimukset viranomaisilmoituksessa ovat seuraavat:
- 24 tunnin kuluessa on tehtävä ennakkoilmoitus viranomaiselle, kun tieto häiriöstä on ensimmäisen kerran saatu
- 72 tunnin kuluessa on tehtävä ilmoitus viranomaiselle sisältäen tiedon häiriöstä, sen vakavuudesta ja vaikutuksista
- 1 kuukauden kuluessa on toimitettava häiriön loppuraportti.
Miten NIS2 vaikuttaa oman organisaatiosi liiketoimintaan? Ota yhteyttä ja varaa keskusteluaika asiantuntijaltamme!
Kirjoittanut
Petteri Kattainen
