NIS2-direktiivi (Network and Information Security) on Euroopan unionin uusi direktiivi, jonka tarkoituksena on vahvistaa jäsenmaiden yhteistä kyberturvallisuutta. Direktiivi tuli voimaan tammikuussa 2023, ja heti alkanut siirtymäaika päättyy 18. lokakuuta 2024. Suomessa direktiivi tuodaan osaksi lainsäädäntöä todennäköisesti vuoden 2024 aikana, mahdollisesti loppuvuodesta 2024. NIS2 korvaa alkuperäisen NIS-direktiivin tiukentaen vaatimuksia sekä laajentaen soveltamisalaa. Mikä käytännössä muuttuu?
Laajennettu soveltamisala
NIS2 laajentaa soveltamisalaa seitsemästä kriittisestä sektorista kahteentoista, mikä tuo useita organisaatioita direktiivin piiriin. Jaottelu on kaksijakoinen: kriittiset ja tärkeät toimijat. Lisäksi siihen, onko yritys soveltamisalan piirissä liittyy yrityksen koko: ainakin yli 250 henkilön yritykset ovat varmasti mukana, mutta pienempien yritysten rajauksista ei ole vielä tarkkaa tietoa.
Kriittiset toimialat
- Pankki- ja finanssiala
- TVT-palvelun hallinta
- Energia (lisätty latausinfra)
- Liikenne
- Avaruus (uusi)
- Digitaalinen infrastruktuuri ja TVT-palveluiden hallinta (laajennettu)
- Julkishallinto (uusi)
- Vesihuolto (lisätty jätevesi)
- Terveydenhuolto
Tärkeät toimialat
- Elintarvikeala (uusi)
- Posti- ja kuriiripalvelut (uusi)
- Jätehuolto (uusi)
- Digitaaliset palveluiden tarjoajat (uusi)
- Kemikaalisektori (uusi)
- Tutkimustoiminta (uusi)
- Valmistava teollisuus, osin (uusi)
On hyvä huomata, että ”Digitaalisen palvelun tarjoajat” ei kuitenkaan koske kaikkia verkkosivustoja, vaan on rajattu pilvi-infrastruktuuriin, hakukoneisiin sekä verkon kauppa-alustoihin kuten Amazon. Mikäli yritys on NIS2 soveltamisalan piirissä, vaikuttavat vaatimukset myös verkkosivustolle, vaikka yrityksen päätoimiala ei digitaalinen palvelu olisikaan.
Tiukennetut vaatimukset riskienhallinnalle
Direktiivissä asetetaan useita vaatimuksia organisaatioiden riskienhallinnalle. Kaikista organisaation tietoturvariskin muodostavista asioista on laadittava dokumentoidut riskianalyysit ja organisaation on pystyttävä osoittamaan, miten se on suunnitellut jatkuvuudenhallinnan mahdollisissa ongelmatilanteissa. On huomattava, että riskienhallinnan piiriin kuuluvat myös toimitusketjut, mikä laajentaa direktiivin vaikutuksia myös suoraan direktiivin piiriin kuuluvien organisaatioiden ulkopuolelle. Suuri osa direktiivin määrittämästä riskienhallinnasta on sellaista, joka on jo direktiivin soveltamisaloihin kuuluvissa organisaatioissa jollakin tasolla hoidettu, mutta direktiivi asettaa vaatimuksia erityisesti keinojen ja politiikkojen dokumentoinnille.
Tiukennuksia poikkeustilanteissa reagointiin ja niistä raportointiin
NIS2 edellyttää kyberturvallisuushäiriöiden nopeaa ilmoittamista. Todennäköisesti vaaditaan jäsennellyn vaaratilanteiden reagointisuunnitelman laatimista, joka sisältää selkeät menettelyt kyberturvallisuushäiriöiden tunnistamiseksi, hallitsemiseksi ja raportoimiseksi. Raportoinnin korostus lisää avoimuuden tarvetta ja saattaa kannustaa tiiviimpään yhteistyöhön eri sidosryhmien välillä.
Tiukemmat rangaistukset
NIS2 tiukentaa huomattavasti seuraamuksia laiminlyönneistä, ja sakot voivat nousta jopa 10 miljoonaan euroon tai 2 prosenttiin globaalista liikevaihdosta. GDPR:n sakkojen tavoin kovilla sanktioilla halutaan motivoida yrityksiä pitämään palvelunsa tiukasti NIS2-määräysten mukaisina.
Vaikuttaako NIS2 verkkosivustoihin?
Mikäli organisaationne ei ole NIS2 soveltamisalan piirissä, ei uuden lainsäädännön voimaantulo aiheuta muutoksia. Mikäli organisaationne on NIS2 piirissä, on tilanteesta hyvä käydä keskustelua ensi vuoden aikana.
Käytännössä esimerkiksi Karhun rakentamat ja ylläpitämät verkkosivustot ovat jo tällä hetkellä niin hyvin suojattu, ettei NIS2 aiheuta todennäköisesti merkittäviä käytännön vaikutuksia tai muutostarpeita. Sen sijaan erilaiseen dokumentaatioon ja niiden ylöskirjaamiseen direktiivi voi jatkossa vaikuttaa. Hyvä askel NIS2-direktiivin vaatimusten täyttämiseksi on hankkia organisaatiolle ISO/IEC 27001 -sertifiointi. Standardia vastaavalla tietoturvanhallintajärjestelmällä sekä jatkuvuudenhallinnalla saadaan todennäköisesti täytettyä valtaosa direktiivin asettamista vaatimuksista.
Seuraamme tilannetta ja keskustelemme mielellämme kaikista tietoturvaan liittyvistä asioista kanssanne. Tilaa Karhun uutiskirje, niin pysyt perillä digimaailman muutoksista.
