Marskidata logo
Marskidata logo
Ota yhteyttä
Blogi

NIS2-direktiivi – Miksi se on tärkeä?

Euroopan unioni pyrkii luomaan säännösten avulla turvallisemman ympäristön digitaalisemmaksi muuttuvalle liiketoiminnalle. NIS2-direktiivi tuo lisää kyberturvaan liittyviä vaatimuksia ja velvollisuuksia ensisijaisesti keskisuurille ja suurille organisaatioille. Käytännössä tämä tarkoittaa sitä, että yritysten on tunnistettava verkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvia riskejä sekä määriteltävä keinot, joiden avulla näiltä suojaudutaan. Direktiivin soveltaminen alkaa 18.10.2024. NIS2-direktiivi pähkinän kuoressa: Kuuluuko […]
Lue lisää

Euroopan unioni pyrkii luomaan säännösten avulla turvallisemman ympäristön digitaalisemmaksi muuttuvalle liiketoiminnalle. NIS2-direktiivi tuo lisää kyberturvaan liittyviä vaatimuksia ja velvollisuuksia ensisijaisesti keskisuurille ja suurille organisaatioille.

Käytännössä tämä tarkoittaa sitä, että yritysten on tunnistettava verkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvia riskejä sekä määriteltävä keinot, joiden avulla näiltä suojaudutaan. Direktiivin soveltaminen alkaa 18.10.2024.

NIS2-direktiivi pähkinän kuoressa:

  • Mikä: Euroopan unionin uusi kyberturvallisuusdirektiivi.
  • Miksi: Tavoitteena parantaa kyberturvallisuutta, vähentää kyberhyökkäysten riskiä ja varmistaa yhteiskunnan toimivuus poikkeusoloissa.
  • Miten: Organisaatioiden on tunnistettava ja hallittava riskejä, jotka liittyvät niiden tietojärjestelmiin ja verkkoihin sekä raportoitava merkittävistä poikkeamista valvovalle viranomaiselle.
  • Milloin: Direktiivin soveltaminen alkaa 18.10.2024.
  • Ketkä: Koskee keskisuuria ja suuria organisaatioista useilla eri toimialoilla ja julkishallinnossa.

Kuuluuko yritykseni velvoitteiden piiriin?

Aiempi NIS koski kahdeksaa toimialaa, nyt mukana on jo 18 yhteiskunnan sektoria, joista uusia ovat esimerkiksi tutkimustoiminta, jätehuolto ja julkishallinto. Käytännössä NIS2 kattaa suuren osan suomalaisista yrityksistä ja julkisista organisaatioista.

Yritysten tulee itse hahmottaa, koskeeko NIS2 niitä. Lisäksi yritysten tulee ilmoittautua valvovalle viranomaiselle, joka määräytyy toimialan mukaan. Pääsääntöisesti NIS2 koskee yrityksiä, joiden liikevaihto ylittää 10 miljoonaa euroa ja joissa on yli 50 työntekijää. Kaikista kriittisimmillä toimialoilla kokorajoitusta ei kuitenkaan ole.

Tarkista Kyberturvallisuuskeskuksen Kriittiset toimialat -taulukosta kuuluuko yrityksesi keskeisiin ja tärkeisiin toimialoihin, jota NIS2-direktiivin soveltaminen koskee. Ja tutustu aiheeseen myös Kyberturvallisuuskeskuksen sivulta NIS2 - Euroopan unionin kyberturvallisuusdirektiivi.

Toimintamallit kuntoon

Se ei riitä, että IT-osasto hoitaa tietoturvan teknisesti kuntoon. Yrityksellä on oltava toimintamallit kyberriskien hallintaan ja niiden käytännön toteutus tulee myös pystyä näyttämään valvovalle viranomaiselle.

Luonnollisesti myös raportoinnin vaatimukset kasvavat. Merkittävästä poikkeamasta on ilmoitettava 24 tunnin kuluessa sen havaitsemisesta. Yksityiskohtaisempi jatkoilmoitus tulee tehdä kolmen vuorokauden kuluessa ja loppuraportin tulee olla valmis kuukauden kuluessa. Traficomin sivuille tulee sähköinen asiointipalvelu näitä ilmoituksia varten.

Mikä on merkittävä poikkeama?

NIS2:ssa tämä määritellään tapahtumana, joka on aiheuttanut tai voinut aiheuttaa yritykselle palvelujen vakavan toimintahäiriön tai taloudellisia tappioita. Raportointia edellyttää myös toisille osapuolille aiheutunut huomattava aineeton tai aineellinen vahinko tai sellaisen mahdollisuus.

Alkuvaiheessa näitä ilmoituksia tehdään todennäköisesti varmuuden vuoksi, sillä sanktiot ovat merkittäviä. Sanktiot ovat enimmillään 10 miljoonaa euroa tai kaksi prosenttia yrityksen liikevaihdosta sen mukaan, kumpi summa on suurempi. Tämän lisäksi yrityksen ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.

Moni yritys ei vielä tiedä

Osa suomalaisista yrityksistä on ollut aktiivisia ja hoitanut asiat ajoissa kuntoon, mutta monet yritykset tulevat heräämään asian äärelle vasta määräpäivän lähestyessä.

Jos yrityksellä ei ole ollut tietoturvan johtamisjärjestelmää, edessä tulee olemaan iso työ. Tietoturvaan liittyvien toimintojen ja käytäntöjen omaksuminen organisaatiossa vie aikaa. Tässä on kyseessä toiminto, jota pitää johtaa määrätietoisesti ja aktiivisesti.

Minkälaiseen aikatauluun NIS2:n kohdalla kannattaa sitten varautua? Esimerkiksi ISO 27001 –tietoturvastandardin käyttöönottoon kuluu aikaa vähintään 9–12 kuukautta. Se antaa vähän osviittaa myös NIS2:n aikataulun hahmottamiselle.

NIS2-direktiivi vaikutukset yrityksiin

NIS2-direktiivin vaikutukset yrityksiin ja organisaatioihin ovat merkittäviä. Direktiivi asettaa uusia vaatimuksia ja velvoitteita, jotka voivat vaatia huomattavia resursseja ja investointeja. Tässä muutamia keskeisiä vaikutuksia:

Riskienhallinta ja tietoturvapolitiikat

Yritysten on kehitettävä kattavat riskienhallintasuunnitelmat ja tietoturvapolitiikat, jotka kattavat kaikki mahdolliset kyberuhat. Tämä voi sisältää esimerkiksi säännölliset turvallisuusauditoinnit, haavoittuvuustestaukset ja henkilöstön koulutuksen.

Tekniset toimenpiteet

Direktiivi edellyttää, että yritykset toteuttavat teknisiä toimenpiteitä kyberuhkien torjumiseksi. Tämä voi tarkoittaa esimerkiksi palomuurien, haittaohjelmien torjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien käyttöönottoa. Lisäksi yritysten on varmistettava, että niiden järjestelmät ja ohjelmistot ovat ajan tasalla ja suojattuja.

Raportointikäytännöt

Yritysten on luotava selkeät raportointikäytännöt turvallisuuspoikkeamien ja -uhkien varalta. Direktiivi edellyttää, että yritykset raportoivat tietoturvaloukkauksista ennalta määritellyissä määräajoissa, mikä voi vaatia nopeaa reagointia ja tehokasta tiedonhallintaa.

Seuraamukset ja valvonta

NIS2-direktiivi sisältää sanktioita yrityksille, jotka eivät noudata sen vaatimuksia. Tämä voi tarkoittaa esimerkiksi huomattavia taloudellisia seuraamuksia tai liiketoiminnan keskeytyksiä. Jäsenvaltioiden on myös perustettava valvontaviranomaiset, jotka varmistavat direktiivin noudattamisen ja valvovat yritysten toimintaa.

Merkittävä edistysaskel

NIS2-direktiivi on merkittävä edistysaskel Euroopan unionin kyberturvallisuuspolitiikassa. Se asettaa uusia vaatimuksia ja velvoitteita yrityksille ja organisaatioille, mutta samalla se parantaa kriittisten infrastruktuurien ja palvelujen suojelua yhä monimutkaisemmissa kyberuhkien ympäristöissä.

Vaikka direktiivin noudattaminen voi vaatia huomattavia resursseja ja investointeja, sen tavoitteet ovat selkeät:

  • Parantaa kyberturvallisuutta
  • Luoda yhtenäiset standardit ja käytännöt
  • Varmistaa paremman valmistautumisen kyberuhkien varalta

NIS2-direktiivi edustaa uutta aikakautta kyberturvallisuuden hallinnassa Euroopassa, ja sen vaikutukset tulevat olemaan kauaskantoisia.

Tietoturvakartoituksella eteenpäin

Tutustu aiheeseen ja Marskidatan NIS2 Tietoturvakartoitukseen nettisivuiltamme Oletko valmis NIS2-direktiiviin? Tietoturvakartoituksessa Marskidatan asiantuntijat kartoittavat yrityksesi kyberturvallisuuden nykytilan ja vertaavat tätä NIS2-direktiivin velvoitteisiin. Saat tämän jälkeen esityksen tarvittavista kehitystoimenpiteistä ja dokumentointitarpeista.

Autamme mielellämme kartoittamaan tilanteenne, ota yhteyttä myynti@marskidata.fi.

Emmi Eronen

Emmi

Development Manager, Team Leader

050 514 0083

emmi.eronen@marskidata.fi

Kiinnostuitko kattavista IT-ratkaisuistamme? Ota yhteyttä, olemme täällä sinua varten!

1.
Ota meihin yhteyttä lomakkeella, soittamalla tai sähköpostilla.
2.
Käydään yhdessä läpi IT-tuen ja laiteratkaisuiden tarpeesi. Kartoitamme nykytilanteesi esimerkiksi ohjelmistojen, päätelaitteiden, tietoturvan tai työn tehostamisen näkökulmasta.
3.
Annamme sinulle sopivan ratkaisuehdotuksen.  Toimitamme tarvitsemasi laitteet ripeästi, ja palvelumme käynnistyy nopeasti sopimuksen jälkeen.
4.
Me palvelemme myös silloin, kun kaikki toimii hyvin – olemme vain yhden yhteydenoton päässä.

Yhteydenottolomake

  • Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.
Marskidata logo

Marski Data Oy

Saapumisohjeet
Saapumisohjeet

Saapumisohjeet
Saapumisohjeet
envelopephone-handsetchevron-downarrow-down