Ajankohtaista

Mikä ihmeen NIS2?

NIS2-direktiivi astuu voimaan syksyllä 2024

NIS2-direktiivi on EU:n verkko- ja tietoturvadirektiivi. Se astuu voimaan lokakuussa 2024. Käytännössä NIS2 on direktiivi kyberturvallisuuden riskienhallinnasta. Suomessa laki on eduskunnan käsittelyssä oletettavasti keväällä 2024. Direktiivi asettaa organisaation hallinnon vastuuseen kyberturvallisuusriskien hallintatoimenpiteistä, kyberturvallisuuden toteutuksesta sekä raportointivelvoitteista.

Kenellä on vastuu organisaatiossa?

Organisaation ylimmällä johdolla on vastuu NIS2-direktiivin mukaisista vaatimuksista, joiden noudattaminen takaa kyberturvan vähimmäistason ja yritys välttyy siten valvontaviranomaisten määrittämiltä sanktioilta.

Mitä yrityksiä NIS2 koskee?

Yritysten on huomioitava NIS2-direktiivi, jos se on kriittisten tai erittäin kriittisten toimijoiden toimialalistalla, työllistävät vähintään 50 henkilöä ja joilla on yli 10 miljoonan liikevaihto. Lisäksi direktiivi ulottuu koskemaan kaikkia toimijoita, jotka ovat kansallisesti määritelty kriittisiksi, riippumatta niiden koosta.

Kriittinen vai erittäin kriittinen toimiala?

NIS2-direktiivi koskee erittäin kriittiseksi

  • energia, liikenne, pankkitoiminta, finassimarkkinoiden infrastruktuurit, terveys, juomavesi, jätevesi, digitaalinen infrasturuktuuri, tieto- ja viestintätekniikan palvelujen hallinta, julkishallinto ja avaruus

tai kriittiseksi määriteltyjä toimialoja

  • posti- ja kuriiripalvelut, kemikaalien valmistus, tuotanto ja jakelu, elintarvikkeiden tuotanto, jalostus ja jakelu, valmistus, digitaalisen palvelujen tarjoajat ja tutkimustoiminta

Mitä vaatimuksia NIS2 asettaa?

Keskeiset vaatimukset voi tiivistää kolmeen osa-alueeseen

  1. Hallinnon tietoturvallisuus: organisaation ja yhteiskunnan näkökulmasta kriittiset toiminnot kattava tietoturvallisuuden hallintamalli
  2. Säännöllinen riskienhallintaprosessi tietoturvatyön lähtökohtana
  3. Riittävä teknisen turvallisuuden taso ja sen mukaisesti toteutetut toimenpiteet.

Mitä muutokset tarkoittavat?

  • Uusi direktiivi korvaa aikaisemman NIS-direktiivin ja laajentaa sen soveltamisalaa.
  • NIS2 asettaa vähimmäisvaatimukset, joita organisaatioiden on noudatettava kyberturvallisuuden varmistamiseksi. Nämä vaatimukset voivat liittyä tietoturvakäytöntöihin, riskienhallintaan ja varautumiseen.
  • Fyysinen turvallisuus tulee uutena ulottuvuutena mukaan. Tämä tarkoittaa, että yritysten on huomioitava ja suojattava järjestelmien fyysisiä resursseja ja infrastruktuuria.
  • Uuden direktiivin myötä keskeisiä toimijoita valvotaan ennaltaehkäisevästi ja tärkeitä toimijoita valvotaan jälkikäteen. Hallinnolliset seuraamukset voivat olla merkittäviä niille organisaatioille, jotka eivät noudata vaatimuksia.
  • Täytäntöönpano tapahtuu kansallisesti. Direktiivin täytäntöönpano osaksi kansallista lainsäädäntöä tapahtuu 17.10.2024 mennessä. Soveltaminen alkaa 18.10.2024.

Mietityttääkö asia?

Autamme mielellämme asian selvittämisessä ja mahdollisten toimenpiteiden toteutuksessa. Ole yhteydessä!

Jaa artikkeli:

Tilaa uutiskirjeemme ja pysy aina ajan tasalla

Kiinnostuitko? Kerromme mielellämme lisää

Sinua voisi kiinnostaa myös

Kyberuhkia ei voi täysin poistaa, mutta niiden riskiä voidaan pienentää merkittävästi ennakoivalla toiminnalla ja selkeillä prosesseilla. Yrityksen tulee varautua paitsi hyökkäysten ehkäisemiseen myös niihin reagoimiseen
Microsoft Windows 10:n tuki päättyy 14. lokakuuta 2025 eli järjestelmään ei julkaista enää uusia tietoturvapäivityksiä tai tarjota tukea.

Kiva kun kävit, mutta ethän mene vielä!

Tarjoamme teille nyt maksuttoman kartoituksen – varaa siis aika ja katsotaan yhdessä, miten voimme auttaa yritystäsi!

Tai

Tilaa uutiskirjeemme alta, niin pysyt aina ajan tasalla, mitä alalla tapahtuu.