NIS2 on kyberturvallisutta koskeva EU:n lainsäädäntö. Sen tavoitteena on parantaa ja yhtenäistää EU:n kyberturvallisuuden yleistä tasoa. NIS2 korvaa aiemman NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia. Uudessa, päivitetyssä direktiivissä korostuu muun muassa riskienhallinta. Uutena vaatimuksena on muun muassa fyysinen turvallisuus.
Direktiivissä ovat myös raportointivaatimukset läheltä piti -tilanteista sekä toimintaa häiritsevistä poikkeamista. Keskeisiä toimijoita valvotaan aktiivisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Direktiivinen määräykset on otettava kansalliseen lainsäädäntöön viimeistään 17.10.024. Suomessa on käynnissä valtioneuvoston hanke (direktiivinen kansallisen toimeenpanon työryhmä). Työryhmän toimikausi päättyy 30.11.2024.
Mikä muuttuu aikaisempaan verrattuna?
- Direktiivin piiriin kuuluvien toimialojen, yritysten, määrä kasvaa.
- Koskee kaikkia keskisuuria (50 + henkilöä ja yli 10 milj. liikevaihto) yrityksiä
- Suuret yritykset kriittisillä toimialoilla
- kaikki kriittisten toimialojen yritykset koosta riippumatta (toimijoille ilmoitetaan)
- Tietoturvaan tulee lisää vaatimuksia.
- Riskienhallinta korostuu.
- Viranomaisten valvonta ja ohjaus kasvavat.
- Direktiivi sisältää mahdolliset sanktiot laiminlyönneistä.
- Raportointivaatimukset tiukkenevat.
NIS2:n tärkeimmät vaatimukset
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat.
- Poikkeamien käsittely.
- Toiminnan jatkuvuuden hallinta (mm. varmuuskopiointi, palautumissuunnittelu).
- Henkilöstöturvallisuus: pääsynhallintaperiaatteet ja omaisuudenhallinta.
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta.
Mikä on oman yrityksenne tietoturvan tilas tällä hetkellä?Haluatko keskustella lisää NIS2-direktiivistä ja sen mahdollisista vaikutuksista? Juttelemme mielellämme lisää kanssanne asiasta! Ole yhteydessä.
