Euroopan unioni pyrkii luomaan säännösten avulla turvallisemman ympäristön digitaalisemmaksi muuttuvalle liiketoiminnalle. NIS2-direktiivi tuo lisää kyberturvaan liittyviä vaatimuksia ja velvollisuuksia ensisijaisesti keskisuurille ja suurille organisaatioille.
Käytännössä tämä tarkoittaa sitä, että yritysten on tunnistettava verkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvia riskejä sekä määriteltävä keinot, joiden avulla näiltä suojaudutaan. Direktiivin soveltaminen alkaa 18.10.2024.
Aiempi NIS koski kahdeksaa toimialaa, nyt mukana on jo 18 yhteiskunnan sektoria, joista uusia ovat esimerkiksi tutkimustoiminta, jätehuolto ja julkishallinto. Käytännössä NIS2 kattaa suuren osan suomalaisista yrityksistä ja julkisista organisaatioista.
Yritysten tulee itse hahmottaa, koskeeko NIS2 niitä. Lisäksi yritysten tulee ilmoittautua valvovalle viranomaiselle, joka määräytyy toimialan mukaan. Pääsääntöisesti NIS2 koskee yrityksiä, joiden liikevaihto ylittää 10 miljoonaa euroa ja joissa on yli 50 työntekijää. Kaikista kriittisimmillä toimialoilla kokorajoitusta ei kuitenkaan ole.
Tarkista Kyberturvallisuuskeskuksen Kriittiset toimialat -taulukosta kuuluuko yrityksesi keskeisiin ja tärkeisiin toimialoihin, jota NIS2-direktiivin soveltaminen koskee. Ja tutustu aiheeseen myös Kyberturvallisuuskeskuksen sivulta NIS2 - Euroopan unionin kyberturvallisuusdirektiivi.
Se ei riitä, että IT-osasto hoitaa tietoturvan teknisesti kuntoon. Yrityksellä on oltava toimintamallit kyberriskien hallintaan ja niiden käytännön toteutus tulee myös pystyä näyttämään valvovalle viranomaiselle.
Luonnollisesti myös raportoinnin vaatimukset kasvavat. Merkittävästä poikkeamasta on ilmoitettava 24 tunnin kuluessa sen havaitsemisesta. Yksityiskohtaisempi jatkoilmoitus tulee tehdä kolmen vuorokauden kuluessa ja loppuraportin tulee olla valmis kuukauden kuluessa. Traficomin sivuille tulee sähköinen asiointipalvelu näitä ilmoituksia varten.
NIS2:ssa tämä määritellään tapahtumana, joka on aiheuttanut tai voinut aiheuttaa yritykselle palvelujen vakavan toimintahäiriön tai taloudellisia tappioita. Raportointia edellyttää myös toisille osapuolille aiheutunut huomattava aineeton tai aineellinen vahinko tai sellaisen mahdollisuus.
Alkuvaiheessa näitä ilmoituksia tehdään todennäköisesti varmuuden vuoksi, sillä sanktiot ovat merkittäviä. Sanktiot ovat enimmillään 10 miljoonaa euroa tai kaksi prosenttia yrityksen liikevaihdosta sen mukaan, kumpi summa on suurempi. Tämän lisäksi yrityksen ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.
Osa suomalaisista yrityksistä on ollut aktiivisia ja hoitanut asiat ajoissa kuntoon, mutta monet yritykset tulevat heräämään asian äärelle vasta määräpäivän lähestyessä.
Jos yrityksellä ei ole ollut tietoturvan johtamisjärjestelmää, edessä tulee olemaan iso työ. Tietoturvaan liittyvien toimintojen ja käytäntöjen omaksuminen organisaatiossa vie aikaa. Tässä on kyseessä toiminto, jota pitää johtaa määrätietoisesti ja aktiivisesti.
Minkälaiseen aikatauluun NIS2:n kohdalla kannattaa sitten varautua? Esimerkiksi ISO 27001 –tietoturvastandardin käyttöönottoon kuluu aikaa vähintään 9–12 kuukautta. Se antaa vähän osviittaa myös NIS2:n aikataulun hahmottamiselle.
NIS2-direktiivin vaikutukset yrityksiin ja organisaatioihin ovat merkittäviä. Direktiivi asettaa uusia vaatimuksia ja velvoitteita, jotka voivat vaatia huomattavia resursseja ja investointeja. Tässä muutamia keskeisiä vaikutuksia:
Yritysten on kehitettävä kattavat riskienhallintasuunnitelmat ja tietoturvapolitiikat, jotka kattavat kaikki mahdolliset kyberuhat. Tämä voi sisältää esimerkiksi säännölliset turvallisuusauditoinnit, haavoittuvuustestaukset ja henkilöstön koulutuksen.
Direktiivi edellyttää, että yritykset toteuttavat teknisiä toimenpiteitä kyberuhkien torjumiseksi. Tämä voi tarkoittaa esimerkiksi palomuurien, haittaohjelmien torjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien käyttöönottoa. Lisäksi yritysten on varmistettava, että niiden järjestelmät ja ohjelmistot ovat ajan tasalla ja suojattuja.
Yritysten on luotava selkeät raportointikäytännöt turvallisuuspoikkeamien ja -uhkien varalta. Direktiivi edellyttää, että yritykset raportoivat tietoturvaloukkauksista ennalta määritellyissä määräajoissa, mikä voi vaatia nopeaa reagointia ja tehokasta tiedonhallintaa.
NIS2-direktiivi sisältää sanktioita yrityksille, jotka eivät noudata sen vaatimuksia. Tämä voi tarkoittaa esimerkiksi huomattavia taloudellisia seuraamuksia tai liiketoiminnan keskeytyksiä. Jäsenvaltioiden on myös perustettava valvontaviranomaiset, jotka varmistavat direktiivin noudattamisen ja valvovat yritysten toimintaa.
NIS2-direktiivi on merkittävä edistysaskel Euroopan unionin kyberturvallisuuspolitiikassa. Se asettaa uusia vaatimuksia ja velvoitteita yrityksille ja organisaatioille, mutta samalla se parantaa kriittisten infrastruktuurien ja palvelujen suojelua yhä monimutkaisemmissa kyberuhkien ympäristöissä.
Vaikka direktiivin noudattaminen voi vaatia huomattavia resursseja ja investointeja, sen tavoitteet ovat selkeät:
NIS2-direktiivi edustaa uutta aikakautta kyberturvallisuuden hallinnassa Euroopassa, ja sen vaikutukset tulevat olemaan kauaskantoisia.
Tutustu aiheeseen ja Marskidatan NIS2 Tietoturvakartoitukseen nettisivuiltamme Oletko valmis NIS2-direktiiviin? Tietoturvakartoituksessa Marskidatan asiantuntijat kartoittavat yrityksesi kyberturvallisuuden nykytilan ja vertaavat tätä NIS2-direktiivin velvoitteisiin. Saat tämän jälkeen esityksen tarvittavista kehitystoimenpiteistä ja dokumentointitarpeista.
Autamme mielellämme kartoittamaan tilanteenne, ota yhteyttä myynti@marskidata.fi.
