Euroopan unionin uusi verkko- ja tietoturvadirektiivi NIS2 astuu kansallisesti voimaan lokakuussa. Suomalaisyritysten ja julkishallinnon on kiireellisesti tehtävä tarvittavat investoinnit tietoturvaan välttääkseen sanktiot.
Uusi direktiivi tiukentaa tietoturvavelvollisuuksia ja häiriöraportointeja useilla eri sektoreilla.
Direktiivillä EU pyrkii vahvistamaan jäsenmaidensa kriittisiä toimijoita kuten julkishallintoa, energiantuotantoa ja digitaalisia palveluita kyberuhkia vastaan.
Direktiivin velvoitteet kohdistuvat keskisuuriin ja suuriin yrityksiin, jotka toimivat joko erittäin kriittisillä tai muilla kriittiseksi määritellyillä aloilla. Näitä ovat muun muassa julkishallinto, energia- ja kemikaalisektori sekä digitaaliset palvelut.
Suomalainen älykkäitä sähkövarastojärjestelmiä valmistava Cactos on valmistautunut tulevan direktiivin vaatimuksiin. Tietoturva on Cactoksella keskeisessä roolissa, sillä sähkövarastojärjestelmät tuottavat kriittisiä vakautuspalveluita valtakunnalliseen sähköverkkoon. Laitteet takaavat myös sähkönsaannin asiakkaiden kiinteistöissä.
“Näen NIS2-direktiivin erittäin positiivisena, sillä se on luonnollisella tavalla lisännyt huomiota tietoturvaan. Direktiivin vaatimusten myötä voimme olla varmoja myös siitä, että yhteistyökumppaneillamme on kanssamme yhteensopivat tietoturvakäytännöt”, kertoo Kim Dikert, Head of Software Development Cactokselta
Lisäksi NIS2-direktiivi koskee kaikkia kansallisesti kriittiseksi määriteltyjä toimijoita koosta riippumatta. Näihin lukeutuvat muun muassa ruoka- ja vesihuolto, terveydenhuolto sekä liikenne.
NIS2-direktiivi asettaa yrityksen ylimmän johdon vastuuseen kyberturvallisuusvaatimusten toteuttamisesta ja valvonnasta. Seuraamusmaksut direktiivin laiminlyönnistä voivat olla merkittäviä.
”Seuraamusmaksut on suhteutettu rikkeeseen ja yrityksen vuotuiseen kokonaisliikevaihtoon. Esimerkiksi keskeisen toimijan sanktio tulee olemaan korkeimmillaan joko 10 miljoonaa euroa tai 2 %:a edellisen tilikauden maailmanlaajuisesta liikevaihdosta. Oikeustapauksia ei kuitenkaan luonnollisesti vielä ole, joten tarkat summat konkretisoituvat ajan kanssa”, kertoo Tarmo Kellomäki, joka vastaa turvallisuuskonsultoinnista teknologiatalo Huldilla.
Kellomäki kehottaa selvittämään ensimmäisenä, kuuluuko yritys direktiivin toimialoihin tai alihankintaketjuihin. Seuraava askel on kartoittaa yrityksen tilanne kyberturvallisuusriskien, ohjelmistohaavoittuvuuksien ja ilmoitusvelvollisuuksien osalta.
”Jos yrityksen omat resurssit eivät riitä direktiivin vaatimusten täyttämiseen, kannattaa harkita ulkoista kumppania. Tietoturva on oma osaamisalueensa, jossa täytyy ottaa huomioon eri toimintaympäristöjen ja toimialojen lainalaisuudet.”
NIS2-direktiivin kansalliset velvoitteet (kyberturvallisuuslaki) astuu voimaan 18. lokakuuta.
Lue lisää Huldin NIS2-konsultoinnista täältä.