EU:n tietoturvadirektiivi NIS2 – Mikä se on ja koskeeko se minua?
NIS2-direktiivin eli Euroopan unionin kyberturvallisuusdirektiivin tarkoituksena on kasvattaa kyberturvallisuuden tasoa viestintäverkoissa ja tietojärjestelmissä, sillä yhä useammat palvelut ja toiminnot ovat enenevässä määrin riippuvaisia viestintäverkkojen ja tietojärjestelmien luotettavasta toiminnasta. Direktiivin tehtävänä on säätää tietoturvavelvollisuuksista ja häiriöraportoinnista useilla eri sektoreilla ja sen tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimialojen ja toimijatyyppien osalta. NIS2-direktiivin kansallinen lainsäädäntö astui voimaan 18.10.2024 ja se korvaa aiemman EU:n verkko- ja tietoturvadirektiivin eli NIS1-direktiivin.
Ketä NIS2-direktiivi koskee?
NIS2-direktiivin myötä säätelyn piiri laajenee ja asettaa velvoitteita keskeisille ja tärkeille toimijoille. Lain soveltamisalan arvioidaan kattavan yhteensä noin 2500–5000 toimijaa.
Erittäin kriittiset toimialat:
-
Energia
-
Liikenne
-
Pankkiala
-
Finanssimarkkinoiden infrastruktuurit
-
Terveys
-
Juomavesi
-
Jätevesi
-
Digitaalinen infrastruktuuri
-
Yritysten välinen TVT-palvelujenhallinta
-
Avaruus
-
Julkishallinto
Muut kriittiset toimialat:
-
Posti- ja kuriiripalvelut
-
Jätehuolto
-
Kemikaalit
-
Elintarvikkeet
-
Valmistus
-
Digitaalisen palvelun tarjoajat
-
Tutkimustoiminta
-
Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat
Tavoitteena on parantaa näiden toimialojen ja palveluiden kyberturvallisuutta sekä kykyä sietää, vastustaa ja palautua kyberhäiriöistä, -hyökkäyksistä sekä muista tietojärjestelmiin ja viestintäverkkoihin haitallisesti vaikuttavista häiriöistä.
Kuinka toimia NIS2-direktiivin osalta
Riippuen hallinnollisen tietoturvan nykytasosta, vaatimukset voivat olla verrattain kevyitä tai varsin raskaita. Mikäli oman tietoturvan hallintamalli on ISO 27001 -sertifioitu, ovat NIS2-vaatimukset verrattain pieniä muutoksia ja tarkennuksia hallintamalliin ja prosesseihin. Mikäli hallintamalli on kaukana ISO 27001 -vaatimuksista tai sitä ei ole lainkaan, tulevat NIS2-vaatimukset olemaan hieman laajempi prosessinkehitys- ja dokumentointiprojekti.
Yrityksen tietoturvasta vastaavan henkilön tai kumppanin kanssa on hyvä käydä keskustelua NIS2-direktiivin tuomista velvoitteista verkko- ja tietojärjestelmien riskienhallintatoimiin sekä raportointiin, sillä velvoitteiden laiminlyönnistä hallinnolliset sakot kohoavat miljooniin euroihin ja digiturhautuminen on taattu.