NIS2-direktiivi, eli verkko- ja tietoturvadirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, joka tulee voimaan kansalliseen lainsäädäntöön viimeistään 17.10.2024. Lue tästä blogista tiivistettynä kaikki, mitä sinun tulee tietää NIS2-direktiivistä. Jos lista tuntuu haastavalta ja pitkältä, älä huoli – asiantuntijamme Huldilla auttavat sinua täyttämään vaatimukset!
Direktiivin tavoitteena on yhtenäinen ja tehokas kyberturvallisuus koko EU:n alueella ja sen toteutumista organisaatioissa valvotaan tehokkaasti esimerkiksi merkittävin sanktioin. NIS2-direktiivi vaatii kyberturvallisuuden parantamiseksi yrityksiltä operatiiviseen toimintaan, organisaatioon ja sen käyttämiin teknologioihin liittyviä toimenpiteitä. Konkreettisena esimerkkinä raportointia sitoo tarkat vaatimukset muun muassa toiminnan häiriöihin tai läheltä piti –tilanteisiin liittyen.
Toimijan ylin johto on direktiivin mukaan vastuussa viestintäverkkojen ja tietojärjestelmien kyberturvallisuutta koskevan riskienhallinnan toteuttamisesta ja valvonnasta toimijassa. Käytännössä se tarkoittaa viimesijaista vastuuta järjestää ja resursoida riskienhallinta asianmukaisesti, sekä valvoa sen toimintaa
Keskeisimmät velvoitteet:
Suurin muutos uudessa NIS2-direktiivissä on se, että se tulee koskemaan yhä useampia organisaatioita edeltäjäänsä verrattuna, kuten elektronisten laitteiden valmistajia.
Direktiivin asettamat vaatimukset ja vähimmäistoimenpiteet ovat myös aiempaa säädöstä laajemmat. NIS2 korostaa esimerkiksi erityisesti riskienhallintaan liittyviä toimenpiteitä ja lisää uusia vaatimuksia, kuten fyysisen turvallisuuden raportoinnin.
Tärkeimmät muutokset:
NIS2-direktiivin velvoitteet kohdistuvat keskisuuriin (yritys, jonka palveluksessa on vähintään 50 työntekijää tai jonka vuosiliikevaihto ja taseen loppusumma ylittää 10 miljoonaa euroa) tai suuriin yrityksiin (yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa), jotka toimivat erittäin kriittisiin ja muihin kriittisiin toimialoihin jaotelluilla aloilla. Tämän lisäksi direktiivi koskee kaikkia kansallisesti kriittiseksi määriteltyjä toimijoita koosta riippumatta.
Toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin.
Keskeiset toimijat
Tärkeät toimijat
NIS2-direktiivin myötä keskeiset toimijat ovat aktiivisen valvonnan kohteena (ennakkoon), kun taas tärkeitä toimijoita valvotaan passiivisesti (jälkikäteen). Direktiivin toteutumista valvovalla viranomaisella on muun muassa oikeus tehdä toimijaa ja tietoja koskeva tarkastus salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä tai vaikkapa velvoittaa toimijaa teettämään kyberturvallisuuden riskienhallintaan kohdistuva turvallisuusauditointi.
Yrityksille, joiden toiminta ei täytä direktiivin vaatimuksia ja korjaa puutteita määräajassa, asetetaan sanktioita, joilla voi olla merkittäviä haittavaikutuksia yrityksen liiketoiminnalle.
Sanktiot
Direktiivi on ollut lausuntopalautekierroksella 3.10. – 29.11.2023. Palautteen läpikäynti ja jatkovalmistelu aloitetaan marraskuussa 2023. Tämän jälkeen direktiivistä on tarkoitus tehdä hallituksen esitys eduskunnalle kevättalvella 2024. NIS2-direktiivin on määrä tulla osaksi kansallista lainsäädäntöä 17.10.2024 mennessä ja täytäntöönpanoa koskevien säännösten soveltaminen alkaa 18.10.2024.
Kyberturvallisuuteen erikoistuneet asiantuntijamme auttavat sinua turvaamaan yrityksesi toiminnan ja vastaamaan NIS2-direktiivin vaatimuksiin. Asiantuntijamme ovat ISO27001-sertifioituja ja omaamme laajan kokemuksen monialaisesta turvallisuusjohtamisesta, -hallinnasta ja riskinarviointimenetelmistä.
Ota yhteyttä
Tarmo Kellomäki
Director, Digital Security & Functional Safety
+358 44 562 5222