Euroopan unionin uusi verkko- ja tietoturvadirektiivi, NIS2, asettaa kyberturvallisuusvaatimuksia sekä yrityksille että julkishallinnolle. Toimijoiden on valmistauduttava ja tehtävä tarvittavat investoinnit tietoturvaan, tai luvassa voi olla mittaviakin sanktioita.
NIS2-direktiivi säätää tietoturvavelvollisuuksista ja häiriöraportoinnista useilla eri sektoreilla. Direktiivillä EU pyrkii vahvistamaan jäsenmaidensa kriittisiä toimijoita kuten julkishallintoa, energiantuotantoa ja digitaalisia palveluita kyberuhkia vastaan.
Direktiivin velvoitteet kohdistuvat keskisuuriin ja suuriin yrityksiin, jotka toimivat joko erittäin kriittisillä tai muilla kriittiseksi määritellyillä aloilla. Näitä ovat esimerkiksi julkishallinto, energia- ja kemikaalisektori sekä digitaaliset palvelut.
Lisäksi NIS2-direktiivi koskee kaikkia kansallisesti kriittiseksi määriteltyjä toimijoita koosta riippumatta. Näihin lukeutuu muun muassa ruoka- ja vesihuolto, energia- ja rahoitusjärjestelmä sekä liikenne ja liikkuminen.
Vaikka direktiivi koskee vain näiden toimialojen keskisuuria ja suuria toimijoita, täytyy niiden varmistaa koko toimitusketjunsa kelpoisuus. Tämä ulottaa NIS2-direktiivin vaikutukset koko joukolle eri yrityksiä.
”Välillinen vaikutus myös pienempiin alihankkijoihin tulee olemaan merkittävä, vaikkei direktiivi niitä suoraan velvoittaisikaan”, kertoo tietoturvan asiantuntija Olli Rajala, joka konsultoi teollisuusyritysten tietoturvaa teknologiatalo Huldilla.
”Tämä johtuu siitä, että viime kädessä isot teollisuustoimijat ovat vastuussa tuotteensa koko toimitusketjusta, johon niiden alihankkijat lukeutuvat.”
NIS2-direktiivi asettaa yrityksen ylimmän johdon vastuuseen kyberturvallisuusvaatimusten toteuttamisesta ja valvonnasta. Jos NIS2-direktiiviä laiminlyö, seuraamusmaksut voivat olla merkittäviä.
”Seuraamusmaksut on toki suhteutettu rikkeeseen ja kyseisen yrityksen vuotuiseen kokonaisliikevaihtoon. Esimerkiksi keskeisen toimijan sanktio tulee olemaan korkeimmillaan joko 10 miljoonaa euroa tai 2 %:a edellisen tilikauden maailmanlaajuisesta liikevaihdosta. Oikeustapauksia ei kuitenkaan vielä ole, joten tarkat summat konkretisoituvat ajan kanssa”, Rajala laskee.
Rajalan kehottaa selvittämään ensimmäisenä, kuuluuko yritys direktiivin toimialoihin tai alihankintaketjuihin. Seuraava askel on kartoittaa yrityksen tilanne kyberturvallisuusriskien, ohjelmistohaavoittuvuuksien ja ilmoitusvelvollisuuksien osalta.
”Jos yrityksen omat resurssit eivät riitä direktiivin vaatimusten täyttämiseen, kannattaa harkita ulkoista kumppania. Tietoturva on oma osaamisalueensa, jossa täytyy ottaa huomioon eri toimintaympäristöjen ja toimialojen erikoisuudet ja lainalaisuudet.”
NIS2-direktiivi astuu voimaan 18. lokakuuta.
”Mitä aiemmin yritykset muutoksiin varautuvat, sitä kivuttomampi siirtymästä niille tulee”, Rajala arvioi.
Lue lisää Huldin NIS2-konsultoinnista täältä.