Moni on kuullut viime aikoina yhä enenevissä määrin puhuttavan NIS2-direktiivistä, joka astui alun perin voimaan 14.12.2022. NIS2-direktiivi on Euroopan unionin uusi kyberturvallisuusdirektiivi, joka koskee kaikkia kriittisten toimialojen toimijoita, jotka työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan euron liikevaihto. Yli 250 henkilön organisaatiot kuuluvat automaattisesti NIS2:n soveltamisalaan. Käytännössä NIS2-direktiivi ulottuu myös pienempiin yrityksiin, jos ne toimivat alihankintaketjussa NIS2:en kuuluvien yritysten kanssa. EU-maiden on saatettava NIS2-direktiivi osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja 18.10.2024 alkaa virallisesti NIS2-direktiivin soveltaminen jäsenmaissa.

NIS2 lyhenne tulee sanoista "The Directive on Security of Network and Information Systems".

NIS2:n tarkoituksena on vastata nykypäivän muuttuneeseen kybertoimintaympäristöön ja parantaa vaadittavilla toimilla koko EU:n turvallisuudentasoa. Samalla NIS2 korvaa aiemman NIS1-direktiivin laajentaen huomattavasti sen vaatimuksia ja soveltamisalaa. NIS1-direktiivi jäi valitettavasti uutisoinnissa (2016) GDPR-tietosuoja-asetuksen jalkoihin, koska ihmisiä kiinnosti selvästi enemmän, mitä tietoja heistä yksilöinä kerätään ja miten näitä tietoja käytetään. Lisäksi kyberturvahaasteet olivat vielä tuolloin moninkertaisesti nykyhetkeä pienemmät.

NIS2:n yksi tavoite on muun muassa selkiyttää ja resursoida entistä paremmin yritysten tietoturvastrategioita, ja tätä kautta direktiivi onkin enemmän mahdollisuus kuin uhka myös yrityksille itselleen.

NIS2, hyvä tietää:

• Korvaa aiemman NIS1-direktiivin ottaen käyttöön uusia toimialoja ja toimijoita koskevat vaatimukset.
• Koskettaa laajemman soveltamisalan tiettyjä palveluita tarjoavia- ja yhteiskunnallisesti erittäin kriittisiä tai kriittisiä toimialoja.
• Asettaa vähimmäistoimenpiteet kyberturvallisuuden varmistamiseksi.
• Ottaa huomioon myös fyysisen turvallisuuden, esim. fyysiset resurssit ja infrastruktuurin.
• Asettaa tiukat vaatimukset poikkeamien raportoinnille ja organisaatioiden ilmoitusvelvollisuudelle häiriö- ja läheltä piti -tilanteista viranomaisille ja sidosryhmille.
• Yritysten ja organisaatioiden johtajien tulee ottaa velvoitteista kokonaisvastuu, sekä hankkia tarvittava koulutus.

• Erittäin kriittisiä toimijoita valvotaan ennaltaehkäisevästi ja kriittisiä toimijoita valvotaan jälkikäteen.
• EU:n jäsenvaltioiden on sisällytettävä direktiivin vaatimukset kansalliseen lainsäädäntöönsä 17.10.2024 mennessä.

Keitä NIS2 koskettaa?

Direktiivi koskee valtion toiminnan kannalta kriittisillä toimialoilla toimivia vähintään keskisuuria organisaatioita. Kriittiset toimialat on jaoteltu kahteen erilliseen ryhmään seuraavasti:

Erittäin kriittiset toimialat:

Kriittiset toimialat:

NIS2 velvoitteet ja -sanktiot

Koska NIS2-direktiivi velvoittaa entistä enemmän suoraan yritysjohtoa, on tavoitteissa mahdollistaa tätä kautta enemmän resursseja toteuttamaan velvoitteita.

NIS2-velvoitteet edellyttävät selkeiden roolien ja vastuiden määrittelyä kyberturvallisuuteen liittyen. Yrityksen ylin hallintoelin on pidettävä ajan tasalla tietoturvaan liittyvästä suorituskyvystä, tärkeistä kehitysaskeleista ja muutoksista organisaation kyberturvallisuusympäristössä. Tehokas hallinto voi esimerkiksi edellyttää riippumattomien arviointien tai kyberturvallisuustasoon liittyvien auditointien tilaamista.

Henkilösanktiot

Toisin kuin NIS1:ssa, NIS2:ssa yritysten hallintoelimet ovat henkilökohtaisesti vastuussa organisaation kyberturvallisuuden mahdollisista rikkomuksista. Tästä käytetään termiä ”management bodies”. Suomessa tämä tulee todennäköisesti tarkoittamaan yrityksen johtajia tai hallitusta, perustuen siihen, miten ja millä sanoilla se meillä kirjataan direktiiviin. Näin pyritään varmistamaan NIS2-direktiivin velvoitteiden noudattaminen. Tietyissä tilanteissa ”management bodies” -henkilöt voidaan väliaikaisesti kieltää hoitamasta johtotehtäviään.

Taloudelliset sanktiot

Sanktiot velvoitteiden laiminlyönnistä voivat olla kriittisillä toimijoilla jopa 10 miljoonaa euroa tai 2 % toimijan vuosittaisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi edellisistä määristä on suurempi. Kriittisellä toimijalla samat sanktiot ovat 7 miljoonaa euroa tai 1,4 % liikevaihdosta. Kansallisesti maksimisanktio voidaan säätää myös tätä suuremmaksi.

Miten Marskidata voi auttaa?

Kuten jo blogissa sivuttiinkin, NIS2-direktiivi sisältää useita velvoitteita ja teknisiä vaatimuksia.  Lisäksi se vaatii asiaan perehtymistä niin teknisiltä henkilöiltä, kuin yritysjohdoltakin. Moniulotteisuutensa vuoksi NIS2:en haltuunotto saattaa olla haastavaa, esimerkkinä tekniset toimenpiteet, kuten haavoittuvuuksien hallinta ja kyberhyökkäyksien havaitseminen ajoissa. Nämä konkreettiset toimenpiteet kuitenkin palvelevat parhaiten NIS2:en vaatimuksia ja yritystä itseään tulevaisuudessa.

Suosittelemmekin aloittamaan riskienhallintalain vaikutusten selvittämisen ja tarvittavien toimenpiteiden toteuttamisen mahdollisimman nopeasti. Kevään tehtäviä voisi olla esimerkiksi nimetä roolit, aloittaa ympäristön nykytilan kartoitus sekä -peilaus direktiiviä vasten. Kesälle ja alkusyksylle jäisi tehtäväksi muun muassa puuttuvat hallintatoimenpiteet (hallinnolliset sekä tekniset), koulutukset ja raportointi. Katso kuvasta kuinka NIS2 kannattaa ottaa järjestelmällisesti haltuun.

Me Marskidatalla autamme mielellämme organisaatiotasi matkalla NIS2-direktiivin vaatimusten noudattamiseen. Autamme halutessanne selvittämään, kuuluuko organisaationne uuden sääntelyn soveltamisalaan, suunnittelemme tarvittaessa organisaatiollenne tietoturvapolun toimenpiteiden vaatimusten täyttämiseksi, tarjoamme yhdessä yhteistyökumppanimme kanssa tehokkaan työvälineen tietoturvan dokumentointiin ja -raportointiin, sekä annamme teidän liiketoiminnallenne lisäarvoa laajan tieto- ja kyberturvaosaamisen, sekä käytännön esimerkkien myötä. Ota yhteyttä niin aloitetaan!

Lähiviikkoina julkaisemme blogin, jossa kerromme aiheesta lisää. Olethan yhteydessä, mikäli tarvitset asiantuntemustamme. Alkutoimenpiteiden aika on viimeistään NYT.