Mitä yrityksesi tulee tietää NIS2:sta?
NIS2-direktiivi (Network and Information Security Directive 2) on Euroopan unionin kyberturvallisuutta koskeva säädös, joka tuli virallisesti voimaan 16. tammikuuta 2023. Direktiivin tavoitteena on parantaa EU:n jäsenvaltioiden kyberturvallisuuden tasoa ja yhdenmukaistaa siihen liittyviä käytäntöjä. Jäsenvaltioilla oli aikaa 17. lokakuuta 2024 asti saattaa direktiivi osaksi kansallista lainsäädäntöään.
Suomessa NIS2-direktiivin mukaiset velvoitteet astuivat voimaan 8. huhtikuuta 2025, kun eduskunta hyväksyi kyberturvallisuuslain. Tämä laki toi mukanaan uusia riskienhallinta- ja raportointivelvoitteita monille toimialoille. Yksi ensimmäisistä askelista on toimijaluetteloon ilmoittautuminen.
Ketä NIS2-direktiivi koskee?
Uusi NIS2-direktiivi laajentaa merkittävästi yritysten ja organisaatioiden joukkoa, joita kyberturvallisuusvaatimukset koskevat. Direktiivi kattaa kriittisiä sektoreita, kuten energia-, terveydenhuolto-, pankki- ja liikennesektorit sekä digitaaliset infrastruktuuripalvelut. Myös monet muut keskeiset toimialat tulevat sen piiriin.
Tarkista kuuluuko organisaatiosi kriittisten toimialojen joukkoon Kyberturvallisuuskeskuksen taulukosta.
Vahvemmat kyberturvallisuusvaatimukset
NIS2 -direktiivissä ja sitä koskevassa kansallisessa kyberturvallisuuslaissa osoitetaan yhteiskunnan kriittisille toimialoille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoite merkittävistä poikkeamista. Laissa on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintaansa kohdistuvia kyberturvallisuusriskejä.
Toimijoiden tulee myös ilmoittaa valvovalle viranomaiselleen merkittävistä tietoturvapoikkeamista. Näiden lisäksi NIS2-sääntelyn soveltamisalaan kuuluvien toimijoiden on ilmoittauduttava oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon 8.5.2025 mennessä.
Toimijoilta edellytetään viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien kyberriskien hallintaa ja haitallisten vaikutusten estämistä tai minimoimista. Toimijan on laadittava riskienhallinnan toimintamalli kyberuhkien havaitsemiseen ja niihin reagointiin 8.7.2025 mennessä.
Nopeampi reagointi ja raportointivelvollisuudet
NIS2 edellyttää nopeaa reagointia kyberuhkiin. Toimijan on ilmoitettava merkittävästä poikkeamasta kansallisille viranomaisille kolmivaiheisesti:
- Ensi-ilmoitus on tehtävä 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta
- Jatkoilmoitus on tehtävä 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta
- Loppuraportti on annettava kuukauden kuluessa jatkoilmoituksen toimittamisesta tai, jos kyseessä on pitkäkestoinen poikkeama, kuukauden kuluessa sen käsittelyn päättymisestä.
Seuraamukset ja sanktiot
Direktiivi tuo mukanaan ankarat sanktiot tietoturvalaiminlyönneistä. Yritys, joka ei täytä tietoturvavaatimuksia, voi saada huomattavia sakkoja – jopa 2 % liikevaihdosta tai 10 miljoonaa euroa, riippuen siitä, kumpi on suurempi.
Lisäksi tietoturvaloukkauksista voi syntyä merkittävää mainehaittaa, jolla voi olla vaikutus organisaation toimintaan.
Kriittisten toimitusketjujen turvaaminen
NIS2-direktiivi painottaa myös kriittisten toimitusketjujen suojaamista. Tämä tarkoittaa, että yritysten on varmistettava myös alihankkijoiden ja muiden kolmansien osapuolten tietoturva, mikä parantaa koko verkoston turvallisuutta.
Toimi ajoissa
Direktiivi on jo voimassa. Nyt on viimeistään aika varmistaa, että yrityksesi täyttää kaikki NIS2-direktiivin asettamat vaatimukset.
Onko sinulla kysyttävää aiheesta? Me autamme! Ole yhteydessä.
Lähde: Traficom
Lue lisää aiheesta:
NIS2-direktiivi – nämä asiat sinun tulee tietää
NIS2-direktiivi tulee voimaan
Mikä ihmeen NIS2?
Varmista yrityksesi kyberturvallisuus
