NIS2-direktiivi – mikä se on ja miten se vaikuttaa yritysten tietoturvavaatimuksiin?

Ensisilmäyksellä

NIS2-direktiivi on EU:n kyberturvallisuuslaki, joka asettaa tiukat vaatimukset yrityksille tietoturvan ja riskienhallinnan osalta. Tässä blogissa kerrotaan, ketä direktiivi koskee, mitä se käytännössä tarkoittaa ja miten yritykset voivat varautua siihen. Frendyn asiantuntijat auttavat yrityksiä täyttämään NIS2-vaatimukset ja parantamaan kyberturvallisuutta kokonaisvaltaisesti.

---

Mikä NIS2 on?

NIS2-direktiivi on EU:n lainsäädäntö, joka pyrkii parantamaan kyberturvallisuutta koko unionissa. NIS2-direktiivi korvasi NIS-direktiivin, joka oli ensimmäinen EU:n kyberturvallisuuslaki. 

NIS2-direktiivin tavoitteena on:

• Kyberturvallisuuden korkean tason saavuttaminen EU-alueella
• Yhtenäistää lainsäädäntöä maiden välillä
• Varmistaa kriittisten palveluiden saatavuus häiriötilanteissa
• Lisätä kyberhäiriöiden ilmoittamista ja tiedonvaihtoa
• Parantaa kyberturvallisuusvalmiuksia ja -yhteistyötä
• Ennaltaehkäistä ja torjua kyberuhkia ja -hyökkäyksiä

Ketä NIS2 koskee?

Direktiivi koskee kaikkia EU:n jäsenmaita, ja se tuli voimaan tammikuussa 2023. Se määrittelee myös EU:n tason yhteistyömekanismeja ja -toimielimiä, kuten kyberturvallisuusverkoston ja kyberturvallisuusviraston (ENISA).

NIS2-direktiivi asettaa kyberturvallisuusvaatimuksia niille yrityksille, jotka ovat riippuvaisia digitaalisista palveluista ja järjestelmistä. Direktiivi jakaa nämä yritykset kahteen ryhmään: olennaiset ja tärkeät toimijat.

• Olennaiset toimijat ovat niitä, jotka tarjoavat kriittisiä tai yhteiskunnan kannalta tärkeitä palveluita, kuten energia-, liikenne-, terveys-, rahoitus-, vesi-, elintarvike-, digitaali-infrastruktuuri- ja postipalvelusektorilla.
• Tärkeät toimijat ovat niitä, jotka tarjoavat muita digitaalisia palveluita, kuten pilvipalveluita, sosiaalisen median palveluita, hakukoneita, verkkokauppoja, verkkopankkeja, verkkomaksupalveluita ja verkkopeliympäristöjä.

Jääkö PK-yritykset NIS2:n ulkopuolelle?

NIS2-direktiivi koskee myös PK-yrityksiä, jos ne kuuluvat olennaisten tai tärkeiden toimijoiden ryhmiin. Pk-yrityksillä on kuitenkin joitakin helpotuksia, kuten pienemmät sakot ja vähemmän raportointivelvoitteita. PK-yritysten on kuitenkin huolehdittava, että ne täyttävät direktiivin kyberturvallisuusvaatimukset, ja että ne ovat tietoisia niistä hyödyistä, joita kyberturvallisuus tuo heille.

Mitä NIS2 tarkoittaa konkreettisesti?

Kyberturvallisuuden riskienhallinnan toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on huomioitava ja ylläpidettävä ajantasaisena vähintään NIS2-direktiivin 21 artiklan sisältämän luettelon kymmenen keskeistä kohtaa:

1. riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
2. poikkeamien käsittely;
3. toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
4. toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
5. verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
6. toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
7. perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
8. toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
9. henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
10. tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
    (Lähde: Traficom)

Entä jos yritys ei noudata NIS2-direktiiviä?

Direktiivin noudattamatta jättäminen voi aiheuttaa yritykselle vakavia seurauksia, kuten seuraamusmaksuja, maineen menetystä, asiakkaiden luottamuksen heikkenemistä tai liiketoiminnan keskeytymistä. Seuraamusmaksut voivat olla jopa 10 miljoonaa euroa tai 2 prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta, riippuen siitä, kumpi on suurempi.

Lisäksi yritys voi joutua vastuuseen mahdollisista vahingoista, joita kyberturvallisuusloukkaukset aiheuttavat muille osapuolille, kuten asiakkaille, alihankkijoille tai viranomaisille. Siksi on tärkeää, että yritys noudattaa direktiivin kyberturvallisuusstandardeja ja parantaa omaa kyberturvallisuustasoaan jatkuvasti.

Miten FRENDY voi auttaa?

Me Frendyllä olemme kyberturvallisuuden asiantuntijoita, ja meillä on vahva osaaminen NIS2-direktiivin vaatimusten täyttämisestä. Voimme auttaa teitä esimerkiksi:

• Kartoittamaan kyberturvallisuusriskejänne ja -tarpeitanne
• Suunnittelemaan ja toteuttamaan kyberturvallisuusstrategian ja -ratkaisut
• Valmistelemaan ja tukemaan kyberhäiriöiden ja -hyökkäysten ilmoittamista ja käsittelyä
• Kouluttamaan ja valmentamaan henkilöstöänne kyberturvallisuusasioissa
• Tarjoamalla jatkuvia kyberturvallisuuspalveluita ja -konsultointia

Olemme valmiina auttamaan teitä vahvistamaan kyberturvallisuutta ja täyttämään direktiivin vaatimukset. Me ymmärrämme PK-yritysten erityispiirteet ja tarpeet, ja räätälöimme palvelumme tarpeidenne mukaan. Me haluamme, että voitte keskittyä liiketoimintaanne ja asiakkaisiinne, ja että voitte hyödyntää digitaalisia palveluita turvallisesti ja luottavaisesti.