Euroopan Unionin uusi NIS2-direktiivi tulee vaikuttamaan kriittisten alojen toimijoiden kyberturvallisuuden vaatimuksiin. Lue alta, mikä NIS2 on, ja minkälaisia yrityksiä ja organisaatioita se koskee.
Euroopan Unionin asettama NIS2-direktiivi (Network and Information Security Directive) julkaistiin joulukuussa 2022, ja kansallisen toimeenpanon määräaika on 17.10.2024. Vuoden 2024 lokakuusta alkaen yritysten ja organisaatioiden tulisi olla NIS2-vaatimusten mukaisia, ja soveltava kansallinen lainsäädäntö tulisi olla voimassa.
Päivitetyssä direktiivissä vaatimukset ja vastuut tiukentuvat
NIS2-direktiivin tarkoituksena on parantaa Euroopan Unionin alueen yhteiskunnan kannalta kriittisten ja tärkeiden toimijoiden kyberturvatietoisuutta sekä varautumista uhkiin ja suojata EU:n alueen toimijoita yhä kasvavilta kyberuhkilta. Kansallista soveltamista Suomessa valmistelee hallituksen asettama työryhmä, ja raportointia ja valvontaa koordinoi Kyberturvakeskus.
Direktiivin mukaan EU:n jäsenvaltioiden on taattava, että yhteiskunnan toiminnan kannalta kriittiset toimijat tekevät tarpeelliset ja riittävät toimet hallitakseen kyberturvallisuuteen liittyviä riskejä sekä pyrkivät minimoimaan kyberturvapoikkeamien vaikutukset palveluidensa käyttäjiin.
Direktiivi on päivitys sitä edeltävään NIS-direktiiviin ja se sisältää huomattavia laajennuksia. Kun aiempi direktiivi koski vain seitsemää toimialaa, laajenee soveltamisala 15 toimialaan, jotka käytännössä kattavat kaikki yhteiskunnan normaalin toiminnan kannalta keskeiset alat.
Lisäksi uuden direktiivin myötä yrityksiltä ja organisaatioilta vaaditaan entistä tiukempia kyberturvallisuusuhkien ehkäisytoimia sekä laajempaa raportointia. Myös sanktiot noudattamatta jättämisestä kovenevat, ja myös kyberturvan hallinnosta vastaaville voidaan määrätä henkilökohtaisia seuraamuksia.
Keitä direktiivi koskee?
Uudessa NIS2-direktiivissä on määritelty 15 eri toimialaa, joita uusi sääntely koskee. Toimialat on jaettu keskeisiin ja tärkeisiin toimijoihin, joiden raportointivelvollisuudet ja sanktiot poikkeavat jossain määrin toisistaan, vaikkakin niiltä vaaditaan samoja kyberturvallisuuden toimia.
Näitä kaikkia aloja uusi NIS2-direktiivi koskee:
Keskeiset toimijat:
- Energia
- Liikenne
- Finanssiala
- Julkishallinto
- Terveydenhuolto
- Avaruus
- Juoma- ja jätevesi
- Digitaalisen infrastruktuurin palveluntarjoajat, kuten pilvipalvelut
Tärkeät toimijat:
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemianteollisuus
- Tutkimus
- Elintarvikeala ja ruuantuotanto
- Valmistava teollisuus
Keskeisten toimijoiden kohdalla NIS2-vaatimukset koskevat yli 250 henkeä työllistäviä tai yli 50 miljoonan euron liikevaihtoa tekeviä yrityksiä ja organisaatioita, kun taas tärkeiden toimijoiden kohdalla direktiivin vaatimukset tulevat voimaan yli 50 henkeä työllistävissä tai yli 10 miljoonaa euroa vaihtavissa yrityksissä. NIS2-direktiivin alaisia ovat myös kansallisesti kriittisiksi määritellyt, CER-direktiivin kansalliseen soveltamisalaan kuuluvat toimijat kokoluokkaan katsomatta.
Mitä vaatimuksia NIS2 asettaa yrityksille?
Aiempaan NIS-direktiivin nähden NIS2 tuo laajemman listan vaatimuksia, ja etenkin yritysten vastuu kyberturvallisuuteen liittyvien riskien hallinnasta ja tietoturvapoikkeamien raportoinnista kasvaa.
Direktiivi edellyttää, että erilaiset verkko- ja järjestelmäympäristöihin kohdistuvat riskit ja uhat tunnistetaan yrityksessä, ja että yritys on kartoittanut ja on ajan tasalla digitaalisen infrastruktuurinsa haavoittuvuuksista ja heikkouksista. Lisäksi direktiivi edellyttää, että yritys tekee riittävät toimet korjatakseen kyberpuolustuksen aukot.
Uusi NIS2 kiinnittää huomiota myös hallinnolliseen tietoturvaan sekä organisaation tietoturvakäytäntöihin ja politiikoihin, eli esimerkiksi yrityksen henkilökunnalle suunnattuihin tietoturvaohjeistuksiin ja käytäntöihin. Uuden direktiivin myötä yrityksellä tulee olla määriteltynä kyberturvallisuusstrategia ja yrityksen johdon tulee hallinnollisesti hyväksyä ja valvoa kyberturvallisuuteen liittyviä toimenpiteitä. Heidän tulee myös kouluttaa niin itseään kuin henkilökuntaa kyberturvallisuuden ajanmukaisiin käytäntöihin.
NIS2:n alaisilta yrityksiltä tullaan vaatimaan myös uhkia ja riskejä vastaavia, riittäviä investointeja kyberturvaan ja toimenpiteitä yhteyksien ja järjestelmien suojaamiseksi. Käytännössä direktiivi edellyttää yritykseltä myös jatkuvaa digitaalisen infrastruktuurin valvontaa ja poikkeamien havainnointia.
Organisaation tulee olla myös varautunut mahdollisiin poikkeustilanteisiin selkeällä jatkuvuussuunnitelmalla. Suunnitelmassa tulee pyrkiä minimoimaan organisaation tai yrityksen palveluita käyttävien kokemat haitat.
NIS2 velvoittaa järjestelmälliseen kyberturvallisuuden ylläpitoon muun muassa seuraavasti:
- Kyberturvaan liittyvien heikkouksien ja haavoittuvuuksien kartoittaminen ja korjaaminen
- Tietoturvapolitiikoihin, pääsynhallintaan ja salaukseen liittyvät periaatteet ja käytännöt
- Tietoturvakäytäntöjen kirjaaminen ja henkilökunnan kouluttaminen
- Tietoturvajärjestelmän rakentaminen ja ylläpitäminen
- Riskienhallinnan suunnitelman laatiminen
- Jatkuvuussuunnitelman laatiminen
- Toimitusketjujen ja hankintojen kyberturvallisuuden varmistaminen
- Raportointi kyberturvapoikkeamista
Kyberturvapoikkeamien raportoinnin vaatimukset tiukkenevat
Kyberturvan valvonnan suhteen yritysten ja organisaatioiden kannattaa huomioida erityisesti kyberturvapoikkeamien raportointiin liittyvät, tiukentuneet vaatimukset.
Vuoden 2024 lokakuun jälkeen poikkeamista tulee ilmoittaa valvovalle viranomaiselle viipymättä, 24 tunnin kuluessa siitä kun poikkeama havaittiin, ja jatkoilmoitus tulee toimittaa 72 tunnin sisään. Lisäksi kyberturvapoikkeamasta on kuukauden sisään toimitettava vielä loppuraportti.
Laiminlyönneistä luvassa mittavia sanktioita, johdon vastuu kasvaa
Direktiivi velvoittaa jäsenmaita soveltamaan direktiivin vaatimuksia lainsäädännössään ja valvomaan lainsäädännön noudattamista. Suomessakin työstetään parhaillaan ehdotusta direktiivin kansallisesta soveltamisesta. Huomionarvoista on, että jäsenmailla tulee olemaan todennäköisesti toisistaan poikkeavia tapoja soveltaa direktiiviä – mikäli siis yrityksesi toimii useammassa EU-maassa, kannattaa seurata kyseisten maiden lainsäädännön kehitystä ja kansallisia, kyberturvallisuuteen liittyviä vaatimuksia.
Mikäli epäillään, etteivät organisaation kyberturvan ylläpito ja valvonta vastaa NIS2-vaatimuksia, valvova viranomainen voi määrätä yrityksen tekemään tietoturvajärjestelmän auditoinnin ja raportoimaan siinä tehdyistä havainnoista. Lisäksi yritys on velvollinen määräajassa korjaamaan auditoinnissa esille tulleet puutteet. Viranomainen voi myös määrätä yrityksen direktiivin noudattamista vastaaviin toimenpiteisiin tai lähettämään digitaalisten palveluidensa käyttäjille tiedonantoja mahdollisista tietoturvauhkista palvelussa.
Direktiivi velvoittaa jäsenmaat asettamaan sakkoja, mikäli paljastuu, että yritys tai organisaatio ei ole toiminut direktiivin mukaisesti. Pienimmillään sakot voivat olla keskeisillä toimijoilla 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta, ja tärkeillä toimijoilla ne nousevat ainakin 10 miljoonaan euroon tai 2 prosenttiin globaalista liikevaihdosta, kumpi summa vain on isompi.
Myös kyberturvan hallinnollinen vastuu kasvaa yrityksissä. Mikäli kyberturvasta vastaava johto laiminlyö velvollisuutensa liittyen direktiivin vaatimuksiin, voidaan yksittäisiä, vastuussa olevia henkilöitä kieltää määräajaksi toimimasta yrityksen ylimmässä johdossa.
Käytännössä NIS2 edellyttää yrityksiltä toimivaa tietoturvan hallintajärjestelmää. Joissain EU-maissa jopa edellytetään kansallisesti ISO 27001:n mukaista tietoturvan hallintajärjestelmää.
