NIS2-direktiivi – lue kaikki, mitä sinun tulee tietää

NIS2-direktiivi, eli verkko- ja tietoturvadirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, joka tulee voimaan kansalliseen lainsäädäntöön viimeistään 17.10.2024. Lue tästä blogista tiivistettynä kaikki, mitä sinun tulee tietää NIS2-direktiivistä. Jos lista tuntuu haastavalta ja pitkältä, älä huoli – asiantuntijamme Huldilla auttavat sinua täyttämään vaatimukset! 

NIS2-direktiivi – mihin se velvoittaa? 

Direktiivin tavoitteena on yhtenäinen ja tehokas kyberturvallisuus koko EU:n alueella ja sen toteutumista organisaatioissa valvotaan tehokkaasti esimerkiksi merkittävin sanktioin. NIS2-direktiivi vaatii kyberturvallisuuden parantamiseksi yrityksiltä operatiiviseen toimintaan, organisaatioon ja sen käyttämiin teknologioihin liittyviä toimenpiteitä. Konkreettisena esimerkkinä raportointia sitoo tarkat vaatimukset muun muassa toiminnan häiriöihin tai läheltä piti –tilanteisiin liittyen.   

Toimijan ylin johto on direktiivin mukaan vastuussa viestintäverkkojen ja tietojärjestelmien kyberturvallisuutta koskevan riskienhallinnan toteuttamisesta ja valvonnasta toimijassa. Käytännössä se tarkoittaa viimesijaista vastuuta järjestää ja resursoida riskienhallinta asianmukaisesti, sekä valvoa sen toimintaa 

Keskeisimmät velvoitteet: 

• Kyberturvallisuus osaksi kaikkia yrityksen verkko- ja tietojärjestelmiä 
• Tehokkaiden riskienhallintatoimenpiteiden varmistaminen 
• Raportointi valvovalle viranomaiselle 24 tunnin kuluessa häiriöiden havaitsemisesta, yksityiskohtaisempi raportointi 72 tunnin kuluessa ja loppuraportti viimeistään 1 kk kuluttua 
• Kyberturvallisuudesta ja riittävästä kouluttautuneisuudesta huolehtiminen 

Mikä tulee muuttumaan? 

Suurin muutos uudessa NIS2-direktiivissä on se, että se tulee koskemaan yhä useampia organisaatioita edeltäjäänsä verrattuna, kuten elektronisten laitteiden valmistajia. 

Direktiivin asettamat vaatimukset ja vähimmäistoimenpiteet ovat myös aiempaa säädöstä laajemmat. NIS2 korostaa esimerkiksi erityisesti riskienhallintaan liittyviä toimenpiteitä ja lisää uusia vaatimuksia, kuten fyysisen turvallisuuden raportoinnin.  

Tärkeimmät muutokset: 

• Direktiivi kattaa entistä useammat yritykset 
• Viranomaisten valvonta ja ohjaus lisääntyvät 
• Mahdolliset sanktiot ja pakkokeinot monipuolistuvat 
• Riskienhallinta saa entistä suuremman painoarvon 
• Tietoturvaan liittyy uusia vaatimuksia 
• Raportointivaatimukset kiristyvät 
• Toimitusketjut otetaan tiiviimmin hallintaan 

Katso listasta, koskeeko NIS2-direktiivi sinua?  

NIS2-direktiivin velvoitteet kohdistuvat keskisuuriin (yritys, jonka palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa) tai suuriin yrityksiin (yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa), jotka toimivat erittäin kriittisiin ja muihin kriittisiin toimialoihin jaotelluilla aloilla. Tämän lisäksi direktiivi koskee kaikkia kansallisesti kriittiseksi määriteltyjä toimijoita koosta riippumatta.  

Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin. 

Keskeiset toimijat 

• Julkishallinto 
• Terveys 
• Liikenne 
• Energia 
• Juoma- ja jätevesi 
• Digitaalinen infrastruktuuri 
• Pankki- ja finanssiala 
• TVT-palvelun hallinta 
• Avaruus 

Tärkeät toimijat 

• Elintarvikeala 
• Jätehuolto 
• Posti- ja kuriiripalvelut 
• Valmistus (esim. tietokoneet, lääkinnälliset laitteet, sähkölaitteet, muut koneet, ajoneuvot ja perävaunut, muut kulkuneuvot) 
• Digitaaliset palvelut 
• Tutkimustoiminta 
• Kemikaalisektori (valmistus, tuotanto ja jakelu) 

Sanktiot – mitä tapahtuu, jos en noudata vaatimuksia?  

NIS2-direktiivin myötä keskeiset toimijat ovat aktiivisen valvonnan kohteena (ennakkoon), kun taas tärkeitä toimijoita valvotaan passiivisesti (jälkikäteen). Direktiivin toteutumista valvovalla viranomaisella on muun muassa oikeus tehdä toimijaa ja tietoja koskeva tarkastus salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tai vaikkapa velvoittaa toimijaa teettämään kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi. 

Yrityksille, joiden toiminta ei täytä direktiivin vaatimuksia ja korjaa puutteita määräajassa, asetetaan sanktioita, joilla voi olla merkittäviä haittavaikutuksia yrityksen liiketoiminnalle. 

Sanktiot 

• Liiketoiminnan tilapäinen keskeytyminen 
• Liiketoiminnan harjoittamiseen liittyvän luvan tai sertifikaatin peruuntuminen 
• Hallinnollinen sakko keskeiselle toimijalle, enintään 10 miljoonaa euroa tai 2 % liikevaihdosta 
• Hallinnollinen sakko muulle tärkeälle toimijalle, enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta 
• Johdon, esim. toimitusjohtajan, hallituksen jäsenen tai vastaavan laillisen edustajan, toiminnan rajoittaminen määräajaksi  

Ota NIS2-direktiivi haltuun – Huldin kyberturvallisuusasiantuntijan vinkit 

1. Tarkista, kuuluuko yrityksesi velvoitteiden piiriin.
2. Asennoidu, että kyberturvan parantaminen on tärkeä ja positiivinen asia.
3. Arvioi rehellisesti, onko kyberturvan hallinnassa parannettavaa.
4. Epäilysten herätessä ota yhteyttä asiantuntijaan arviosi vahvistamiseksi ja jatkosuunnitelman laatimiseksi.
5. Pienennä ja eliminoi riskejä, sujuvoita ja yhdenmukaista käytänteitä, tehosta liiketoimintaa ja hanki kilpailuetua seuraamalla suunnitelmaa.

Mitä tapahtuu seuraavaksi? 

Direktiivi on ollut lausuntopalautekierroksella 3.10. – 29.11.2023. Palautteen läpikäynti ja jatkovalmistelu aloitetaan marraskuussa 2023. Tämän jälkeen direktiivistä on tarkoitus tehdä hallituksen esitys eduskunnalle kevättalvella 2024. NIS2-direktiivin on määrä tulla osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024.  

Älä jää yksin – me voimme auttaa! 

Kyberturvallisuuteen erikoistuneet asiantuntijamme auttavat sinua turvaamaan yrityksesi toiminnan ja vastaamaan NIS2-direktiivin vaatimuksiin. Asiantuntijamme ovat ISO27001-sertifioituja ja omaamme laajan kokemuksen monialaisesta turvallisuusjohtamisesta, -hallinnasta ja riskinarviointimenetelmistä. 

Ota yhteyttä
Tarmo Kellomäki
Director, Digital Security & Functional Safety
+358 44 562 5222