NIS2-DIREKTIIVI

MIKÄ ON NIS2-DIREKTIIVI?

Verkko- ja tietoturvadirektiivi (NIS2) on EU:n laajuinen kyberturvallisuuslainsäädäntö, jonka tavoitteena on parantaa kyberturvallisuuden tasoa ja yhdenmukaistaa kyberresilienssiä koko Euroopan unionissa. NIS2 korvasi aiemman NIS-direktiivin ja laajensi sen soveltamisalaa sekä tiukensi vaatimuksia erityisesti kriittisten ja tärkeiden toimialojen osalta. EU:n jäsenvaltioiden tuli saattaa NIS2 osaksi kansallista lainsäädäntöään viimeistään 17. lokakuuta 2024. 

NIS2-DIREKTIIVIN YMMÄRTÄMINEN

NIS2 on päivitetty versio verkko- ja tietoturvadirektiivistä, joka laajentaa soveltamisalaa useampiin sektoreihin, tiukentaa vaatimuksia ja tuo mukanaan tiukempia seuraamuksia vaatimusten noudattamatta jättämisestä verrattuna aiempaan NIS-direktiiviin. Lukuun ottamatta muutamia poikkeuksia, se koskee keskisuuria ja suuria yrityksiä (50 työntekijää tai 10 miljoonan euron vuotuinen liikevaihto) terveydenhuollon, digitaalisten palvelujen ja infrastruktuurin, pankki- ja rahoitusalan sekä elintarvikkeiden sektoreilla. 

NIS2-direktiivin päätavoitteena on edistää kyberturvallisuuskulttuuria ja varmistaa keskeisten palvelujen resilienssi kolmella keskeisellä osa-alueella:

• Riskienhallinta ja kybertapahtumien hallinta: NIS2 edellyttää, että organisaatiot tekevät säännöllisiä riskinarviointeja tunnistaakseen potentiaaliset uhat ja laativat vankat incidentien hallintasuunnitelmat varmistaakseen, että ne voivat tehokkaasti vastata ja toipua kyberturvallisuuden häiriötilanteiden jälkeen.
• Turvatoimenpiteet: NIS2 vaatii organisaatioita ottamaan käyttöön teknisiä ja organisatorisia toimenpiteitä varmistaakseen verkkojensa ja tietojärjestelmiensä turvallisuuden. Tämä sisältää pääsynhallinnan, salauksen ja säännölliset turvallisuuspäivitykset.
• Raportointivaatimukset: Organisaatioiden on myös raportoitava merkittävistä kyberincidentistä asiaankuuluville viranomaisille.

MITÄ YRITYSTEN ON OTETTAVA HUOMIOON?

Lokakuussa 2024 voimaan tulleet muutokset sisältävät hallittujen palveluntarjoajien lisäämisen soveltamisalaan. Näin ollen NIS2-direktiivi koskee EU:ssa toimivia tai EU:n liiketoimintaa harjoittavia organisaatioita, jotka kuuluvat soveltamisalaan. Tämä sisältää yritykset, jotka täyttävät "olennaisen" tai "tärkeän" organisaation määritelmän tietyillä sektoreilla, kuten internetpalveluntarjoajat, energiantoimittajat, juomaveden tuottajat, jätehuoltolaitokset, pankit, kuljetusyritykset, terveydenhuoltolaitokset, elintarviketuotantolaitokset ja digitaalisen infrastruktuurin tarjoajat.

Vaatimusten noudattamatta jättäminen voi olla kallista. NIS2:n nojalla kansalliset viranomaiset voivat määrätä laajemman valikoiman seuraamuksia verrattuna NIS-direktiiviin. Esimerkiksi:

• Toimitusjohtajat ja johtajat voidaan asettaa henkilökohtaiseen vastuuseen toteutuksen laiminlyönneistä.
• Sakot voivat olla jopa 10 miljoonaa euroa tai 2 % kokonaisliikevaihdosta (olennaisille toimijoille) tai 7 miljoonaa euroa tai 1,4 % kokonaisliikevaihdosta (tärkeille toimijoille).
• Sääntelyviranomaiset voivat keskeyttää liiketoiminnan, jos se on tarpeen verkkoturvallisuuden vuoksi.

KUINKA BUREAU VERITAS VOI OLLA YRITYKSESI TUKENA?

Auditoimme ja sertifioimme ISO 27001 tietoturvallisuuden hallintajärjestelmiä ja järjestämme avoimia sekä yrityskohtaisia sisäisen- ja johtavan auditoijan tietoturvallisuuskoulutuksia. 

NIS2-YHTEENSOPIVUUSPALVELUT BUREAU VERITAKSELTA

Asiantuntijamme Securassa, Bureau Veritaksen tytäryhtiössä, tarjoavat laajan valikoiman palveluita tukemaan NIS2:n noudattamista, missä tahansa vaiheessa kyberturvallisuusmatkaasi oletkin. Askeleesi vaatimustenmukaisuuteen, mukaan lukien palvelumme niiden saavuttamiseksi:

• Varmista, koskeeko NIS2 organisaatiotasi: Ensimmäinen askel on selvittää, kuuluuko organisaatiosi soveltamisalaan, jos tarjoat palveluja EU:hun. NIS2 koskee tärkeitä ja olennaisia toimijoita. Se, onko yritys näin luokiteltu, riippuu yrityksen koosta ja toimialasta.
• Koulutus johdolle ja henkilöstölle: Työntekijöiden kouluttaminen, sekä johtoryhmän että muiden tasojen osalta, on olennainen osa NIS2-direktiiviä. Olemme kehittäneet NIS2 Boardroom Training ja SAFE Awareness -ohjelman, joka auttaa sinua täyttämään nämä vaatimukset kaikilla tasoilla.
• Kartoitus organisaatiosi nykytilasta: Selvittääksesi, mitä toimenpiteitä sinun on tehtävä NIS2-vaatimusten täyttämiseksi, on tärkeää saada hyvä käsitys organisaatiosi eri osien nykyisistä turvallisuuden kypsyystasoista. NIS2-tutkimuspalvelumme mittaa nykyisen tilan ja asettaa tavoitteet. Tämän näkemyksen avulla tiedät, mitkä askeleet sinun on otettava täyttääksesi NIS2-vaatimukset.
• Parannusten toteuttaminen: Kartoituksen jälkeen voit toteuttaa tarvittavat parannustoimenpiteet. Laaja ratkaisutarjontamme, mukaan lukien CISO-tuki ja incidentien hallintapalvelut, voi tukea sinua sekä toteutuksessa että toimenpiteiden tulkinnassa.
• NIS2-vaatimustenmukaisuuden saavuttaminen: Näiden vaiheiden jälkeen olet NIS2-vaatimusten mukainen ja organisaatiosi on turvallisempi kyberuhkia vastaan. Tuemme sinua myös prosessin aikana CyberCare-ohjelmamme kautta.

MITKÄ OVAT NIS2-VAATIMUSTENMUKAISUUDEN HYÖDYT?

Vaatimustenmukaisuus on pakollista joillekin organisaatioille, mutta NIS2-vaatimusten täyttäminen tuo myös muita etuja, kuten:

1. Parantunut kyberresilienssi ja parempi suunnittelu kyberuhkia varten
2. Parantunut kyberriskien ymmärrys koko organisaatiossa
3. Tehostettu incidentien hallinta ja raportointi

MIKSI VALITA BUREAU VERITAS KUMPPANIKSI?

• Meiltä saat kokeneen tiimin, joilla on vuosikymmenten kokemus hallinnon riskienhallinnasta ja vaatimustenmukaisuudesta
• Löydät valikoimastamme laajasti eri palveluita, jotka on kehitetty täyttämään NIS2-tarpeesi ja auttamaan sinua saavuttamaan vaatimustenmukaisuus
• Saat meiltä käyttöösi kyberturvallisuuden asiantuntijat, joilla on osaamista ihmisten, prosessien ja teknologian alalta
• Tarjoamme sinulle selkeän etenemissuunnitelman NIS2-vaatimusten täyttämiseksi ja noudattamiseksi
• Meillä on maailmanlaajuinen asiantuntemus, joka on johtava testaus-, tarkastus- ja sertifiointipalveluissa

UKK