NIS2

NIS2-DIREKTIIVI

MIKÄ ON NIS2-DIREKTIIVI?

Aikana, jolloin kyberhyökkäysten määrä kasvaa ja digitalisoituminen laajenee, alkuperäinen direktiivi (NIS) on päivitetty versioon NIS2. Näin ollen NIS2 terävöittää vähimmäisvaatimukset entistä korkeammalle IT-suojaustasolle ja kattaa entistä useampia sektoreita, yrityksiä ja julkisia yksiköitä.

Euroopan parlamentti hyväksyi verkko- ja tietoturvadirektiivin uuden version (NIS2) marraskuussa 2022. Siirtymäaika NIS2-direktiiviin on 21 kuukautta, ja alkaa heti julkaisusta. Suomessa NIS2 direktiivi viedään osaksi lainsäädäntöä todennäköisesti syksyllä 2024.

Tämä modernisoitu viitekehys pyrkii varmistamaan jäsenmaiden kollektiivisen tietoturvan parantamisen sekä yhteisen pohjatason minimivelvoitteineen. Direktiivillä perustetaan täysin reaaliajassa toimiva EU:n kyberturvallisuusoperaatiokeskus (SOC), jonka tehtävänä on raportoida ja välittää tietoa EU-maiden kriittisistä infrastruktuureista.

Tällä asetuksella parlamentti haluaa lisätä tietoisuutta ja terävöittää velvoitteita sekä vahvistaa riskienhallinnan, raportointivelvoitteiden ja tiedonvaihdon minimivelvoitteita. Vaatimukset kattavat muun muassa reagointisuunnitelman ja toiminnan jatkuvuusvalmistelun, toimitusketjun turvallisuuden, poikkeamanhallintamenetelmän, salauksen ja haavoittuvuuksien paljastamisen.

ARTIKLA 21 JA RISKIENHALLINTATOIMENPITEET

Keskeisin uudistus on artikla 21, joka velvoittaa toimijat raportoimaan riskienhallinnastaan. NIS2:n määräämät toimenpiteet olennaisten ja tärkeiden palveluiden toimittajille kuvataan nyt kattavammin ja yhdenmukaisemmin: jäsenvaltioiden valvontaviranomaisten on varmistettava, että keskeiset ja tärkeät tahot toteuttavat asianmukaiset toimenpiteet verkko- ja tietojärjestelmiensä turvallisuuteen kohdistuvien riskien hallitsemiseksi.

Artikla 21 sisältää luettelon toimenpiteistä, jotka yrityksen on otettava käyttöön. Luettelo kuvaa vähimmäisstandardit muun muassa riskianalyysille, turvallisuuskonsepteille, tietoturvaloukkausten ehkäisemiselle, kyberturvallisuuskoulutukselle ja kriisinhallinnalle. ISO 27001 tietoturvallisuuden hallintajärjestelmän implementoiti ja sertifioiminen valmistaa yrityksesi täyttämään artikla 21:n vaatimukset. Kriittisillä aloilla toimivat yritykset voivat hakea tähän tietoturvan kehittämistukea (tietoturvaseteli) Liikenne- ja viestintäviraston kyberturvallisuuskeskukselta.

Eri sektoreiden keskeisten ja tärkeiden toimijoiden valvontaviranomaisilla on tärkeä rooli riskienhallinnassa, koska niiden on hyväksyttävä ja valvottava 21. artiklan vaatimusten noudattamiseksi toteutetut toimenpiteet. Lisäksi valvontavirastojen jäsenten tulee osallistua kyberturvallisuuskoulutukseen.

Lunnashaittaohjelmat ja muut kyberuhat ovat piinanneet Eurooppa aivan liian kauan. Meidän on toimittava saadaksemme yrityksemme, hallituksemme ja yhteiskuntamme vastustuskykyisemmiksi vihamielisiä kyberoperaatioita kohtaan. Tämä EU:n direktiivi auttaa noin 160 000 yksikköä kiristämään heidän turvaotteensa ja tekee Euroopasta turvallisen paikan asua ja työskennellä. Se myös helpottaa tiedonvaihtoa yksityisen sektorin ja kumppaneiden välillä ympäri maailmaa. Jos meitä vastaan hyökätään teollisessa mittakaavassa, meidän on reagoitava teollisessa mittakaavassa.

Bart Groothuis Direktiiviä valmistelevan komitean puheenjohtaja ja MEP

European Union, 2016, European Parliament

KENEN TÄYTYY TÄYTTÄÄ NIS2:N VAATIMUKSET?

Yritykset, joissa on yli 250 työntekijää kuuluvat automaattisesti NIS2:n piiriin riippumatta liikevaihdosta. Myös yritykset joissa on yli 50 työntekijää, ja joiden vuotuinen liikevaihto tai vuositase on yli 10 milj. euroa sovelletaan NIS2:ta, mutta tietyin poikkeuksin. Jos viranomaiset arvioivat, että pieni yritys tarjoaa kriittistä toimintoa tai palvelua, kuten yleisten sähköisten viestintäverkkojen tarjoajat tai luottamuspalveluntarjoajat, myös tämän yrityksen on täytettävä NIS2:n vaatimukset.

On tärkeää, että yrityksesi tutustuu uuteen direktiiviin jo nyt, sillä uudet vaatimukset otetaan käyttöön 27 kuukauden kuluttua NIS2-direktiivin voimaantulosta. Viimeistään samana päivänä jäsenmaat laativat luettelon olennaisista ja tärkeistä sekä tämän asetuksen soveltamisalaan kuuluvista yksiköistä.

NIS2 ILMOITUSPROSESSI

Huoltovarmuuskriittisten toimijoiden on ilmoitettava heidän verkko- ja tietojärjestelmissään olevista tietoturvapoikkeamista viranomaisille. Suomessa ilmoitukset voi tehdä toimialasta riippumatta Traficomin (Kyberturvallisuuskeskus) verkkosivujen kautta. Poikkeuksena on finanssiala, jonka ilmoitukset tehdään Finanssivalvonnalle.

Ilmoituksen jälkeen KTK tallentaa tiedon osaksi kansallista tilannekuvaa ja välittää ilmoituksen kyseisen toimialan valvovalle viranomaiselle. Ilmoituksen sisältöön kuuluu yritystiedot, kuvaus poikkeamasta, kuvaus palveluista joihin poikkeaman vaikututtaa, havaitsemis ajankohta, lisätiedot poikkeaman syystä ja tieto jos vastaavaa on havaittu aiemmin.

KUINKA BUREAU VERITAS VOI OLLA YRITYKSESI TUKENA?

Auditoimme ja sertifioimme ISO 27001 tietoturvallisuuden hallintajärjestelmiä ja järjestämme avoimia sekä yrityskohtaisia sisäisen- ja johtavan auditoijan tietoturvallisuuskoulutuksia.

ISO 27001 auditoinnit voidaan toteuttaa kotimaisten auditoijien toimesta ja tehdä sertifiointipäätös Bureau Veritas Certificationin Suomen yksikössä.

Haluatko kuulla lisää tai mietitkö, miten yrityksesi tulee reagoida uuteen NIS2-direktiiviin? Voit olla yhteydessä meihin oheisten yhteystietojen kautta.

OTA YHTEYTTÄ

Timo Hovi
Sales Manager
p. 010 830 8672

timo.hovi@bureauveritas.com