NIS2-DIREKTIIVI
MIKÄ ON NIS2-DIREKTIIVI?
Aikana, jolloin kyberhyökkäysten määrä kasvaa ja digitalisoituminen laajenee, alkuperäinen direktiivi (NIS) on päivitetty versioon NIS2. Näin ollen NIS2 terävöittää vähimmäisvaatimukset entistä korkeammalle IT-suojaustasolle ja kattaa entistä useampia sektoreita, yrityksiä ja julkisia yksiköitä.
Euroopan parlamentti hyväksyi verkko- ja tietoturvadirektiivin uuden version (NIS2) marraskuussa 2022. Siirtymäaika NIS2-direktiiviin on 21 kuukautta, ja alkaa heti julkaisusta. Suomessa NIS2 direktiivi viedään osaksi lainsäädäntöä todennäköisesti syksyllä 2024.
Tämä modernisoitu viitekehys pyrkii varmistamaan jäsenmaiden kollektiivisen tietoturvan parantamisen sekä yhteisen pohjatason minimivelvoitteineen. Direktiivillä perustetaan täysin reaaliajassa toimiva EU:n kyberturvallisuusoperaatiokeskus (SOC), jonka tehtävänä on raportoida ja välittää tietoa EU-maiden kriittisistä infrastruktuureista.
Tällä asetuksella parlamentti haluaa lisätä tietoisuutta ja terävöittää velvoitteita sekä vahvistaa riskienhallinnan, raportointivelvoitteiden ja tiedonvaihdon minimivelvoitteita. Vaatimukset kattavat muun muassa reagointisuunnitelman ja toiminnan jatkuvuusvalmistelun, toimitusketjun turvallisuuden, poikkeamanhallintamenetelmän, salauksen ja haavoittuvuuksien paljastamisen.
ARTIKLA 21 JA RISKIENHALLINTATOIMENPITEET
Keskeisin uudistus on artikla 21, joka velvoittaa toimijat raportoimaan riskienhallinnastaan. NIS2:n määräämät toimenpiteet olennaisten ja tärkeiden palveluiden toimittajille kuvataan nyt kattavammin ja yhdenmukaisemmin: jäsenvaltioiden valvontaviranomaisten on varmistettava, että keskeiset ja tärkeät tahot toteuttavat asianmukaiset toimenpiteet verkko- ja tietojärjestelmiensä turvallisuuteen kohdistuvien riskien hallitsemiseksi.
Artikla 21 sisältää luettelon toimenpiteistä, jotka yrityksen on otettava käyttöön. Luettelo kuvaa vähimmäisstandardit muun muassa riskianalyysille, turvallisuuskonsepteille, tietoturvaloukkausten ehkäisemiselle, kyberturvallisuuskoulutukselle ja kriisinhallinnalle. ISO 27001 tietoturvallisuuden hallintajärjestelmän implementoiti ja sertifioiminen valmistaa yrityksesi täyttämään artikla 21:n vaatimukset. Kriittisillä aloilla toimivat yritykset voivat hakea tähän tietoturvan kehittämistukea (tietoturvaseteli) Liikenne- ja viestintäviraston kyberturvallisuuskeskukselta.
Eri sektoreiden keskeisten ja tärkeiden toimijoiden valvontaviranomaisilla on tärkeä rooli riskienhallinnassa, koska niiden on hyväksyttävä ja valvottava 21. artiklan vaatimusten noudattamiseksi toteutetut toimenpiteet. Lisäksi valvontavirastojen jäsenten tulee osallistua kyberturvallisuuskoulutukseen.
European Union, 2016, European Parliament
KENEN TÄYTYY TÄYTTÄÄ NIS2:N VAATIMUKSET?
Yritykset, joissa on yli 250 työntekijää kuuluvat automaattisesti NIS2:n piiriin riippumatta liikevaihdosta. Myös yritykset joissa on yli 50 työntekijää, ja joiden vuotuinen liikevaihto tai vuositase on yli 10 milj. euroa sovelletaan NIS2:ta, mutta tietyin poikkeuksin. Jos viranomaiset arvioivat, että pieni yritys tarjoaa kriittistä toimintoa tai palvelua, kuten yleisten sähköisten viestintäverkkojen tarjoajat tai luottamuspalveluntarjoajat, myös tämän yrityksen on täytettävä NIS2:n vaatimukset.
On tärkeää, että yrityksesi tutustuu uuteen direktiiviin jo nyt, sillä uudet vaatimukset otetaan käyttöön 27 kuukauden kuluttua NIS2-direktiivin voimaantulosta. Viimeistään samana päivänä jäsenmaat laativat luettelon olennaisista ja tärkeistä sekä tämän asetuksen soveltamisalaan kuuluvista yksiköistä.
NIS2 ILMOITUSPROSESSI
Huoltovarmuuskriittisten toimijoiden on ilmoitettava heidän verkko- ja tietojärjestelmissään olevista tietoturvapoikkeamista viranomaisille. Suomessa ilmoitukset voi tehdä toimialasta riippumatta Traficomin (Kyberturvallisuuskeskus) verkkosivujen kautta. Poikkeuksena on finanssiala, jonka ilmoitukset tehdään Finanssivalvonnalle.
Ilmoituksen jälkeen KTK tallentaa tiedon osaksi kansallista tilannekuvaa ja välittää ilmoituksen kyseisen toimialan valvovalle viranomaiselle. Ilmoituksen sisältöön kuuluu yritystiedot, kuvaus poikkeamasta, kuvaus palveluista joihin poikkeaman vaikututtaa, havaitsemis ajankohta, lisätiedot poikkeaman syystä ja tieto jos vastaavaa on havaittu aiemmin.
KUINKA BUREAU VERITAS VOI OLLA YRITYKSESI TUKENA?
Auditoimme ja sertifioimme ISO 27001 tietoturvallisuuden hallintajärjestelmiä ja järjestämme avoimia sekä yrityskohtaisia sisäisen- ja johtavan auditoijan tietoturvallisuuskoulutuksia.
ISO 27001 auditoinnit voidaan toteuttaa kotimaisten auditoijien toimesta ja tehdä sertifiointipäätös Bureau Veritas Certificationin Suomen yksikössä.
NIS2-YHTEENSOPIVUUSPALVELUT BUREAU VERITAKSELTA
Asiantuntijamme Securassa, Bureau Veritaksen tytäryhtiössä, tarjoavat laajan valikoiman palveluita tukemaan NIS2:n noudattamista, missä tahansa vaiheessa kyberturvallisuusmatkaasi oletkin. Askeleesi vaatimustenmukaisuuteen, mukaan lukien palvelumme niiden saavuttamiseksi:
- Varmista, koskeeko NIS2 organisaatiotasi: Ensimmäinen askel on selvittää, kuuluuko organisaatiosi soveltamisalaan, jos tarjoat palveluja EU:hun. NIS2 koskee tärkeitä ja olennaisia toimijoita. Se, onko yritys näin luokiteltu, riippuu yrityksen koosta ja toimialasta.
- Koulutus johdolle ja henkilöstölle: Työntekijöiden kouluttaminen, sekä johtoryhmän että muiden tasojen osalta, on olennainen osa NIS2-direktiiviä. Olemme kehittäneet NIS2 Boardroom Training ja SAFE Awareness -ohjelman, joka auttaa sinua täyttämään nämä vaatimukset kaikilla tasoilla.
- Kartoitus organisaatiosi nykytilasta: Selvittääksesi, mitä toimenpiteitä sinun on tehtävä NIS2-vaatimusten täyttämiseksi, on tärkeää saada hyvä käsitys organisaatiosi eri osien nykyisistä turvallisuuden kypsyystasoista. NIS2-tutkimuspalvelumme mittaa nykyisen tilan ja asettaa tavoitteet. Tämän näkemyksen avulla tiedät, mitkä askeleet sinun on otettava täyttääksesi NIS2-vaatimukset.
- Parannusten toteuttaminen: Kartoituksen jälkeen voit toteuttaa tarvittavat parannustoimenpiteet. Laaja ratkaisutarjontamme, mukaan lukien CISO-tuki ja incidentien hallintapalvelut, voi tukea sinua sekä toteutuksessa että toimenpiteiden tulkinnassa.
- NIS2-vaatimustenmukaisuuden saavuttaminen: Näiden vaiheiden jälkeen olet NIS2-vaatimusten mukainen ja organisaatiosi on turvallisempi kyberuhkia vastaan. Tuemme sinua myös prosessin aikana CyberCare-ohjelmamme kautta.
MITKÄ OVAT NIS2-VAATIMUSTENMUKAISUUDEN HYÖDYT?
- Parantunut kyberresilienssi ja parempi suunnittelu kyberuhkia varten
- Parantunut kyberriskien ymmärrys koko organisaatiossa
- Tehostettu incidentien hallinta ja raportointi
OTA YHTEYTTÄ
Timo Hovi
Sales Manager
p. 010 830 8672
timo.hovi@bureauveritas.com