Euroopan Unionin uusi NIS2-direktiivi muuttaa kriittisten alojen toimijoiden kyberturvallisuuden vaatimuksia. Lue alta, mikä NIS2 on, ja minkälaisia toimialoja, yrityksiä ja organisaatioita se koskee.
Euroopan Unionin asettama NIS2-direktiivi (Network and Information Security Directive) julkaistiin joulukuussa 2022. Sen jälkeen on ollut kansallisen toimeenpanon vuoro.
NIS2 astuu voimaan EU-jäsenvaltioissa lokakuussa 2024, tarkalleen 17.10.2024. Siitä alkaen lain piirissä olevien yritysten ja organisaatioiden tulee noudattaa uusia vaatimuksia.
Päivitetyssä direktiivissä vaatimukset ja vastuut tiukentuvat
NIS2-direktiivin tarkoituksena on parantaa Euroopan Unionin alueen yhteiskunnan kannalta kriittisten ja tärkeiden toimijoiden kyberturvatietoisuutta sekä varautumista uhkiin ja suojata EU:n alueen toimijoita yhä kasvavilta kyberuhkilta. Kansallista soveltamista Suomessa valmistelee hallituksen asettama työryhmä, ja raportointia ja valvontaa koordinoi Traficomin Kyberturvallisuuskeskus.
Direktiivin mukaan EU:n jäsenvaltioiden täytyy taata, että yhteiskunnan toiminnan kannalta kriittiset toimijat tekevät tarpeelliset ja riittävät toimet, joilla ne hallitsevat kyberturvallisuuteen liittyviä riskejä sekä pyrkivät minimoimaan kyberturvapoikkeamien vaikutukset palveluidensa käyttäjiin.
Direktiivi on päivitys sitä edeltävään NIS-direktiiviin ja se sisältää huomattavia laajennuksia. Kun aiempi direktiivi koski vain seitsemää toimialaa, laajenee soveltamisala 15 toimialaan, jotka käytännössä kattavat kaikki yhteiskunnan normaalin toiminnan kannalta keskeiset alat.
Lisäksi uuden direktiivin myötä yrityksiltä ja organisaatioilta vaaditaan entistä tiukempia kyberturvallisuusuhkien ehkäisytoimia ja laajempaa raportointia. Myös sanktiot noudattamatta jättämisestä kovenevat. Kyberturvan hallinnosta vastaaville voidaan määrätä henkilökohtaisia seuraamuksia.
Keitä direktiivi koskee?
Uudessa NIS2-direktiivissä on määritelty 15 eri toimialaa, joita uusi sääntely koskee. Toimialat on jaettu keskeisiin ja tärkeisiin toimijoihin, joiden raportointivelvollisuudet ja sanktiot poikkeavat jossain määrin toisistaan. Niiltä vaaditaan kuitenkin samoja kyberturvallisuuden toimia.
Nämä toimialat ovat NIS2-direktiivin piirissä:
Keskeiset toimijat
- Energia
- Liikenne
- Finanssiala
- Julkishallinto
- Terveydenhuolto
- Avaruus
- Juoma- ja jätevesi
- Digitaalisen infrastruktuurin palveluntarjoajat, kuten pilvipalvelut
Keskeisten toimijoiden kohdalla NIS2-vaatimukset koskevat yli 250 henkeä työllistäviä tai yli 50 miljoonan euron liikevaihtoa tekeviä yrityksiä ja organisaatioita.
Tärkeät toimijat
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemianteollisuus
- Tutkimus
- Elintarvikeala ja ruuantuotanto
- Valmistava teollisuus
Tärkeiden toimijoiden kohdalla direktiivin vaatimukset tulevat voimaan yli 50 henkeä työllistävissä tai yli 10 miljoonaa euroa vaihtavissa yrityksissä.
NIS2-direktiivin alaisia ovat myös kansallisesti kriittisiksi määritellyt, CER-direktiivin kansalliseen soveltamisalaan kuuluvat toimijat kokoluokkaan katsomatta.
Mitä vaatimuksia NIS2 asettaa yrityksille?
Aiempaan NIS-direktiivin nähden NIS2 tuo laajemman listan vaatimuksia, ja etenkin yritysten vastuu kyberturvallisuuteen liittyvien riskien hallinnasta ja tietoturvapoikkeamien raportoinnista kasvaa.
Uusi lainsäädäntö vaatii, että erilaiset verkko- ja järjestelmäympäristöihin kohdistuvat riskit ja uhkat tunnistetaan yrityksessä. Toisin sanottuna yrityksen on täytynyt kartoittaa digitaalisen infrastruktuurinsa haavoittuvuudet ja heikkoudet, ja niistä täytyy pysyä myös ajan tasalla. Vastuu ulottuu omien järjestelmien lisäksi toimitusketjun riskien tunnistamiseen. Lisäksi direktiivi edellyttää, että yritys tekee riittävät toimet korjatakseen kyberpuolustuksen aukot.
Uusi NIS2 kiinnittää huomiota myös hallinnolliseen tietoturvaan sekä organisaation tietoturvakäytäntöihin ja politiikoihin, eli esimerkiksi yrityksen henkilökunnalle suunnattuihin tietoturvaohjeistuksiin ja menettelytapoihin.
Uuden direktiivin myötä yrityksellä tulee olla määriteltynä kyberturvallisuusstrategia ja yrityksen johdon tulee hallinnollisesti hyväksyä ja valvoa kyberturvallisuuteen liittyviä toimenpiteitä. Heidän tulee myös kouluttaa niin itseään kuin henkilökuntaa kyberturvallisuuden ajanmukaisiin käytäntöihin.
NIS2:n alaisilta yrityksiltä tullaan vaatimaan myös uhkia ja riskejä vastaavia, riittäviä investointeja kyberturvaan ja toimenpiteitä yhteyksien ja järjestelmien suojaamiseksi. Käytännössä direktiivi edellyttää yritykseltä myös jatkuvaa digitaalisen infrastruktuurin valvontaa ja poikkeamien havainnointia.
Organisaation tulee olla myös varautunut mahdollisiin poikkeustilanteisiin selkeällä jatkuvuussuunnitelmalla. Suunnitelmassa tulee pyrkiä minimoimaan organisaation tai yrityksen palveluita käyttävien kokemat haitat.
NIS2-vaatimukset ohjaavat nykyistä järjestelmällisempään kyberturvallisuuden ylläpitoon:
- Kyberturvaan liittyvien heikkouksien ja haavoittuvuuksien kartoittaminen ja korjaaminen
- Tietoturvapolitiikoihin, pääsynhallintaan ja salaukseen liittyvät periaatteet ja käytännöt
- Tietoturvakäytäntöjen kirjaaminen ja henkilökunnan kouluttaminen
- Tietoturvajärjestelmän rakentaminen ja ylläpitäminen
- Riskienhallinnan suunnitelman laatiminen
- Jatkuvuussuunnitelman laatiminen
- Toimitusketjujen ja hankintojen kyberturvallisuuden varmistaminen
- Raportointi kyberturvapoikkeamista
Kyberturvapoikkeamien raportoinnin vaatimukset tiukkenevat
Kyberturvan valvonnan suhteen yritysten ja organisaatioiden kannattaa huomioida erityisesti kyberturvapoikkeamien raportointiin liittyvät, tiukentuneet vaatimukset.
Vuoden 2024 lokakuun jälkeen poikkeamista tulee ilmoittaa valvovalle viranomaiselle viipymättä, 24 tunnin kuluessa siitä kun poikkeama havaittiin, ja jatkoilmoitus tulee toimittaa 72 tunnin sisään. Lisäksi kyberturvapoikkeamasta on kuukauden sisään toimitettava vielä loppuraportti.
Mitä käytännössä pitää tehdä? Lähde liikkeelle näin:
1. Tunnista organisaatioosi kohdistuvat vaatimukset
Asiantuntijan avulla tunnistat, miten organisaatiosi sijoittuu direktiivin luokituksessa. Tiettyihin toimialoihin liittyy erityispiirteitä ja yksityiskohtaisia vaatimuksia. Varaudu riskeihin riittävästi, mutta vältä tarpeettoman järeät investoinnit.
2. Arvioi nykytilanne riskien valossa
Tehokas NIS2-arviointi nojaa kyberturva-alan parhaisiin käytäntöihin (mm. ISO270001-standardi). Saat käsityksen siitä, millä tolalla tietoturvan hallintajärjestelmäsi on ja mitä sen eteen on vielä tehtävä. Arvioinnissa on kiinnitettävä huomiota sekä johtamisen prosesseihin että tietoturvan teknisiin työkaluihin.
3. Päivitä tietoturvan hallintajärjestelmä vastaamaan vaatimuksiin
Tietoturvan hallintajärjestelmä tarkoittaa dokumentoituja prosesseja siitä, miten erilaisiin riskeihin on varauduttu. Otathan huomioon, että NIS2 ulottaa varautumisen aiempaa laajemmalle, omasta toiminnasta toimitusketjuun asti.
4. Luo toimivat käytännöt poikkeustilanteiden varalle
Raportointivaatimus on tärkeä osa NIS2-direktiiviä. Organisaation toiminnan jatkumisen kannalta yhtä olennaista on suunnitella, miten kyberhyökkäyksistä toivutaan. Tunteeko jokainen omat roolinsa ja vastuunsa Incident Response -tilanteessa? Onko johtamisen komentoketju saumaton? Harjoittelu tuo varmuutta.
Viranomainen voi määrätä toimenpiteisiin
Uusi NIS2 velvoittaa jäsenmaita soveltamaan direktiivin vaatimuksia lainsäädännössään, mutta myös valvomaan lainsäädännön noudattamista. Jäsenmailla tulee olemaan todennäköisesti toisistaan poikkeavia tapoja soveltaa direktiiviä.
Jos yrityksesi siis toimii useammassa EU-maassa, kannattaa seurata kyseisten maiden lainsäädännön kehitystä ja kansallisia, kyberturvallisuuteen liittyviä vaatimuksia.
Jos valvovilla viranomaisilla herää epäilys siitä, ettei organisaation kyberturvan ylläpito ja valvonta vastaa NIS2-vaatimuksia, se voi määrätä yrityksen tekemään tietoturvajärjestelmän auditoinnin ja raportoimaan siinä tehdyistä havainnoista.
Lisäksi yritys on velvollinen määräajassa korjaamaan auditoinnissa esille tulleet puutteet. Viranomainen voi myös määrätä yrityksen direktiivin noudattamista vastaaviin toimenpiteisiin tai lähettämään digitaalisten palveluidensa käyttäjille tiedonantoja mahdollisista tietoturvauhkista palvelussa.
Laiminlyönneistä luvassa mittavia sanktioita, johdon vastuu kasvaa
Jos paljastuu, että yritys on laiminlyönyt direktiivin velvoitteet, edessä voivat olla tuntuvat sanktiot. Pienimmillään sakot voivat olla tärkeillä toimijoilla 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta, ja keskeisillä toimijoilla ne nousevat ainakin 10 miljoonaan euroon tai 2 prosenttiin globaalista liikevaihdosta, kumpi summa vain on isompi.
Myös kyberturvan hallinnollinen vastuu kasvaa yrityksissä. Mikäli kyberturvasta vastaava johto laiminlyö velvollisuutensa liittyen direktiivin vaatimuksiin, voidaan yksittäisiä, vastuussa olevia henkilöitä kieltää määräajaksi toimimasta yrityksen ylimmässä johdossa.
Käytännössä NIS2 edellyttää yrityksiltä toimivaa tietoturvan hallintajärjestelmää. Joissain EU-maissa jopa edellytetään kansallisesti ISO 27001:n mukaista tietoturvan hallintajärjestelmää.