Yritykset kohtaavat uusia tietoturvahaasteita – EU:n laajuinen kyberturvallisuusdirektiivi NIS2 astuu voimaan lokakuussa

Euroopan unionin uusi verkko- ja tietoturvadirektiivi, NIS2, asettaa kyberturvallisuusvaatimuksia sekä yrityksille että julkishallinnolle. Toimijoiden on valmistauduttava ja tehtävä tarvittavat investoinnit tietoturvaan, tai luvassa voi olla mittaviakin sanktioita.

NIS2-direktiivi säätää tietoturvavelvollisuuksista ja häiriöraportoinnista useilla eri sektoreilla. Direktiivillä EU pyrkii vahvistamaan jäsenmaidensa kriittisiä toimijoita kuten julkishallintoa, energiantuotantoa ja digitaalisia palveluita kyberuhkia vastaan.

Direktiivi vaikuttaa koko Suomessa

Direktiivin velvoitteet kohdistuvat keskisuuriin ja suuriin yrityksiin, jotka toimivat joko erittäin kriittisillä tai muilla kriittiseksi määritellyillä aloilla. Näitä ovat esimerkiksi julkishallinto, energia- ja kemikaalisektori sekä digitaaliset palvelut.

Lisäksi NIS2-direktiivi koskee kaikkia kansallisesti kriittiseksi määriteltyjä toimijoita koosta riippumatta. Näihin lukeutuu muun muassa ruoka- ja vesihuolto, energia- ja rahoitusjärjestelmä sekä liikenne ja liikkuminen.

Vaikka direktiivi koskee vain näiden toimialojen keskisuuria ja suuria toimijoita, täytyy niiden varmistaa koko toimitusketjunsa kelpoisuus. Tämä ulottaa NIS2-direktiivin vaikutukset koko joukolle eri yrityksiä.

”Välillinen vaikutus myös pienempiin alihankkijoihin tulee olemaan merkittävä, vaikkei direktiivi niitä suoraan velvoittaisikaan”, kertoo tietoturvan asiantuntija Olli Rajala, joka konsultoi teollisuusyritysten tietoturvaa teknologiatalo Huldilla.

”Tämä johtuu siitä, että viime kädessä isot teollisuustoimijat ovat vastuussa tuotteensa koko toimitusketjusta, johon niiden alihankkijat lukeutuvat.”

Laiminlyönnistä mittavia sanktioita

NIS2-direktiivi asettaa yrityksen ylimmän johdon vastuuseen kyberturvallisuusvaatimusten toteuttamisesta ja valvonnasta. Jos NIS2-direktiiviä laiminlyö, seuraamusmaksut voivat olla merkittäviä.

”Seuraamusmaksut on toki suhteutettu rikkeeseen ja kyseisen yrityksen vuotuiseen kokonaisliikevaihtoon. Esimerkiksi keskeisen toimijan sanktio tulee olemaan korkeimmillaan joko 10 miljoonaa euroa tai 2 %:a edellisen tilikauden maailmanlaajuisesta liikevaihdosta. Oikeustapauksia ei kuitenkaan vielä ole, joten tarkat summat konkretisoituvat ajan kanssa”, Rajala laskee.

Rajalan kehottaa selvittämään ensimmäisenä, kuuluuko yritys direktiivin toimialoihin tai alihankintaketjuihin. Seuraava askel on kartoittaa yrityksen tilanne kyberturvallisuusriskien, ohjelmistohaavoittuvuuksien ja ilmoitusvelvollisuuksien osalta.

”Jos yrityksen omat resurssit eivät riitä direktiivin vaatimusten täyttämiseen, kannattaa harkita ulkoista kumppania. Tietoturva on oma osaamisalueensa, jossa täytyy ottaa huomioon eri toimintaympäristöjen ja toimialojen erikoisuudet ja lainalaisuudet.”

NIS2-direktiivi astuu voimaan 18. lokakuuta.

”Mitä aiemmin yritykset muutoksiin varautuvat, sitä kivuttomampi siirtymästä niille tulee”, Rajala arvioi.

Lue lisää Huldin NIS2-konsultoinnista täältä.


Verkko- ja tietoturvadirektiivi NIS2

  • NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Se korvaa ja laajentaa edeltäjänsä soveltamisalaa ja vaatimuksia.
  • Direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijoiden tulee toteuttaa kyberturvallisuuden riskienhallinnassa ja raportoinnissa.
  • NIS2-direktiivin tavoitteena on yhtenäistää ja parantaa sekä koko EU:n että sen jäsenmaiden kyberturvallisuuden tasoa.
  • Direktiivi astuu voimaan 18.10.2024.

 

 

Edellinen kirjoitus

Nimitysuutiset 2024 toukokuussa