NIS2-direktiivi on EU:n verkko- ja tietoturvadirektiivi. Se astuu voimaan lokakuussa 2024. Käytännössä NIS2 on direktiivi kyberturvallisuuden riskienhallinnasta. Suomessa laki on eduskunnan käsittelyssä oletettavasti keväällä 2024. Direktiivi asettaa organisaation hallinnon vastuuseen kyberturvallisuusriskien hallintatoimenpiteistä, kyberturvallisuuden toteutuksesta sekä raportointivelvoitteista.
Kenellä on vastuu organisaatiossa?
Organisaation ylimmällä johdolla on vastuu NIS2-direktiivin mukaisista vaatimuksista, joiden noudattaminen takaa kyberturvan vähimmäistason ja yritys välttyy siten valvontaviranomaisten määrittämiltä sanktioilta.
Mitä yrityksiä NIS2 koskee?
Yritysten on huomioitava NIS2-direktiivi, jos se on kriittisten tai erittäin kriittisten toimijoiden toimialalistalla, työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan liikevaihto. Lisäksi direktiivi ulottuu koskemaan kaikkia toimijoita, jotka ovat kansallisesti määritelty kriittisiksi, riippumatta niiden koosta.
Kriittinen vai erittäin kriittinen toimiala?
NIS2-direktiivi koskee erittäin kriittiseksi
- energia, liikenne, pankkitoiminta, finassimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrasturuktuuri, tieto- ja viestintätekniikan palvelujen hallinta, julkishallinto ja avaruus
tai kriittiseksi määriteltyjä toimialoja
- posti- ja kuriiripalvelut, kemikaalien valmistus, tuotanto ja jakelu, elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus, digitaalisen palvelujen tarjoajat ja tutkimustoiminta
Mitä vaatimuksia NIS2 asettaa?
Keskeiset vaatimukset voi tiivistää kolmeen osa-alueeseen
- Hallinnon tietoturvallisuus: organisaation ja yhteiskunnan näkökulmasta kriittiset toiminnot kattava tietoturvallisuuden hallintamalli
- Säännöllinen riskienhallintaprosessi tietoturvatyön lähtökohtana
- Riittävä teknisen turvallisuuden taso ja sen mukaisesti toteutetut toimenpiteet.
Mitä muutokset tarkoittavat?
- Uusi direktiivi korvaa aikaisemman NIS-direktiivin ja laajentaa sen soveltamisalaa.
- NIS2 asettaa vähimmäisvaatimukset, joita organisaatioiden on noudatettava kyberturvallisuuden varmistamiseksi. Nämä vaatimukset voivat liittyä tietoturvakäytöntöihin, riskienhallintaan ja varautumiseen.
- Fyysinen turvallisuus tulee uutena ulottuvuutena mukaan. Tämä tarkoittaa, että yritysten on huomioitava ja suojattava järjestelmien fyysisiä resursseja ja infrastruktuuria.
- Uuden direktiivin myötä keskeisiä toimijoita valvotaan ennaltaehkäisevästi ja tärkeitä toimijoita valvotaan jälkikäteen. Hallinnolliset seuraamukset voivat olla merkittäviä niille organisaatioille, jotka eivät noudata vaatimuksia.
- Täytäntöönpano tapahtuu kansallisesti. Direktiivin täytäntöönpano osaksi kansallista lainsäädäntöä tapahtuu 17.10.2024 mennessä. Soveltaminen alkaa 18.10.2024.