NIS2 direktiivi astuu voimaan – ketä se koskee?

marras 15, 2024 | Janne Mettovaara

Euroopan unionin uusi NIS2-direktiivi (Network and Information Security Directive 2) astuu voimaan ja tuo mukanaan muutoksia yritysten kyberturvallisuusvelvoitteisiin. Direktiivin tavoitteena on vahvistaa jäsenvaltioiden ja yritysten vastustuskykyä kyberuhkia vastaan sekä varmistaa, että kriittiset palvelut toimivat myös mahdollisten kyberhyökkäysten aikana. Direktiivi päivittää vuonna 2016 voimaan astuneen alkuperäisen NIS-direktiivin ja laajentaa sen soveltamisalaa kattamaan enemmän sektoreita ja toimijoita. Mutta mitä tämä käytännössä tarkoittaa yrityksille?

Ketkä ovat NIS2-direktiivin piirissä?

NIS2-direktiivi laajentaa alkuperäisen direktiivin soveltamisalaa, ja sen piiriin kuuluvat monenlaiset kriittiset toimijat eri aloilta, kuten energia, liikenne, terveydenhuolto, finanssisektori, jätehuolto, vesihuolto ja digitaalinen infrastruktuuri. Myös näihin sektoreihin liittyvät ICT-palvelujen tarjoajat kuuluvat NIS2-direktiivin vaatimusten piiriin. Tämä tarkoittaa, että jos yrityksesi toimii jollain näistä aloista, se saattaa olla velvollinen noudattamaan NIS2-direktiiviä.

Myös alihankkijat ovat myös osaltaan vastuussa kyberturvallisuudesta. Näin olleen direktiivin piiriin kuuluvan yrityksen velvollisuutena on varmistaa, että myös sen käyttämät alihankkijat noudattavat riittäviä tietoturvatoimenpiteitä, jotta koko toimitusketju on suojattu kyberuhkilta. Toimitusketjun heikoin lenkki voi pahimmassa tapauksessa vaarantaa koko organisaation turvallisuuden.

Mitä ovat direktiivin keskeiset tietoturvavaatimukset?

NIS2 direktiivissä on paljon samankaltaisuuksia kuin tietosuoja- eli GDPR direktiivissä. Näitä asioita ovat esimerkiksi asiakirjojen laatiminen ennakoivasti, joilla osoitetaan kyky vastata kyberuhkiin sekä tehokkaaseen toimintaan häiriötilanteissa. Molemmissa vaaditaan riskiarvion tekemistä ja molemmissa voi saada tuntuvan sanktion. Lisäksi molemmissa vaaditaan tietoturvaloukkauksien raportoimista viranomaisille.

NIS2-direktiivi asettaa yrityksille vaatimuksia tietoturvan ja riskienhallinnan osalta. Alla kokemuksemme mukaan keskeisimmät vaatimukset, joihin yrityksesi tulisi kiinnittää huomiota ja laatia vaadittavat asiakirjat: 

  1. Riskiarvio

Yritysten on säännöllisesti suoritettava riskiarvioita kyberturvallisuuden osalta. Tämä tarkoittaa, että organisaation tulee tunnistaa sen toimintaa uhkaavat kyberriskit ja ryhtyä ennaltaehkäiseviin toimenpiteisiin niiden torjumiseksi. Riskiarvioiden on oltava jatkuva prosessi, jonka avulla organisaatio voi reagoida nopeasti uusiin uhkiin ja haavoittuvuuksiin.

  1. Tietoturvapolitiikka

Organisaatioiden on laadittava ja ylläpidettävä tietoturvapolitiikka, joka kattaa kaikki tietoturvaan liittyvät käytännöt ja menettelytavat. Tämä politiikka toimii ohjenuorana työntekijöille ja johdolle tietoturvallisuuden varmistamisessa. Selkeä ja kattava tietoturvapolitiikka on välttämätön osa organisaation kyberturvallisuuden perustaa.

  1. Toimitusketjun turvallisuus

Kuten mainittu, toimitusketjun turvallisuus on olennainen osa NIS2-direktiiviä. Yritysten tulee varmistaa, että kaikki niiden toimintaan osallistuvat alihankkijat noudattavat riittäviä tietoturvatoimia. Tämä edellyttää yhteistyötä alihankkijoiden kanssa ja säännöllisiä tarkastuksia, jotta koko toimitusketju on turvassa kyberuhkilta.

  1. Ilmoitusvelvollisuus

NIS2-direktiivi velvoittaa yrityksiä raportoimaan merkittävistä tietoturvaloukkauksista kansallisille viranomaisille mahdollisimman nopeasti, yleensä 24–72 tunnin kuluessa. Ilmoitusvelvollisuus on keskeinen osa direktiiviä, sillä se mahdollistaa viranomaisten nopean reagoinnin ja auttaa estämään mahdollisten haittojen leviämisen muihin toimijoihin.

  1. Elpymistoimenpiteet

Yritysten on laadittava elpymissuunnitelmia, joka varmistaa toiminnan jatkumisen ja palveluiden nopean palautumisen kyberhyökkäyksen jälkeen. Elpymistoimenpiteet ovat kriittisiä, jotta organisaatio pystyy toipumaan mahdollisesta kyberhyökkäyksestä mahdollisimman vähin vahingoin. Hyvin suunnitellut elpymistoimenpiteet auttavat minimoimaan liiketoiminnan häiriöt ja taloudelliset menetykset. Myös ilmoitusvelvollisuuden toteutuminen tulee varmistaa elpymissuunnitelmassa, eli että se tulee varmasti tehtyä riittävän nopeasti. Elpymissuunnitelmassa tulee nimetä henkilöt, jotka asiaa hoitavat kriisitilanteessa.

  1. Johdon tietoisuus ja vastuu tietoturvasta

NIS2-direktiivi korostaa myös johdon vastuuta tietoturvan hallinnassa. Johto on velvollinen olemaan tietoinen organisaation kyberturvallisuudesta ja osallistumaan aktiivisesti tietoturvatoimenpiteiden kehittämiseen ja toimeenpanoon. Tämä vaatii johdolta sitoutumista tietoturvan kehittämiseen ja riittävien resurssien varaamista kyberturvallisuuden ylläpitämiseksi. Johto ei voi suojautua tietämättömyyden taakse.

 Yhteenveto

 NIS2-direktiivi tuo mukanaan velvoitteita monille organisaatioille, jotka toimivat kriittisillä aloilla ja näiden toimijoiden alihankkijoille. Uudet vaatimukset koskevat niin riskiarviointia, toimitusketjun turvallisuutta kuin johdon vastuuta tietoturvasta. Organisaationne kannattaa valmistautua ajoissa ja varmistaa, että sen tietoturvatoimet ovat direktiivin mukaisia. Tämä paitsi suojaa yritystä kyberuhkilta, myös varmistaa, että se täyttää lakisääteiset velvoitteet ja välttää mahdolliset sanktiot.

Jos tarvitsette apua NIS2-direktiivin vaatimusten täyttämisessä tai haluatte lisätietoja, asianajotoimistomme on valmiina auttamaan.

Janne Mettovaara, toimitusjohtaja