Huolehditko yrityksesi NIS2-direktiivin hallinnollisesta puolesta? Tarkasta ainakin nämä kohdat riskienhallinta- sekä raportointivelvoitetta koskien

NIS2-direktiivin eli Euroopan unionin kyberturvallisuusdirektiivin kansallinen lainsäädäntö astui voimaan 18.10.2024. Uusi direktiivi säätää tietoturvavelvollisuuksista ja häiriöraportoinnista useilla eri sektoreilla ja sen tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimialojen ja toimijatyyppien osalta. NIS2-direktiivi tuo velvoitteita verkko- ja tietojärjestelmien riskienhallintatoimiin sekä raportointivelvoitteita tärkeillä ja keskeisillä toimialoilla.

Riskienhallintavelvoite

Riskienhallintatoimenpiteillä on tarkoitus varmistaa, että verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa riskeihin. Keskeisten ja tärkeiden toimijoiden tulee toteuttaa asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet kontrolloidakseen riskejä, joita niiden toiminnoissa tai palveluntarjonnassa käyttämien verkko- ja tietojärjestelmien turvallisuuteen kohdistuu.

Kohdat, joita toimijoiden on otettava huomioon riskienhallinnassa ja riskienhallintatoimenpiteissä:

• 1

  Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat

• 2

  Poikkeamien käsittely

• 3

  Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta

• 4

  Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat

• 5

  Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen

• 6

  Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta

• 7

  Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus

• 8

  Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä

• 9

  Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta

• 10

  Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa

NIS2-direktiivin mukaan toimijan tulee toteuttaa riskienhallintatoimenpiteet viivytyksettä ja siten, että turvallisuuden taso on oikeassa suhteessa riskeihin.

Raportointivelvoite

Keskeisten ja tärkeiden toimijoiden tulee raportoida merkittävästä poikkeamasta CSIRT-yksikölle tai toimivaltaiselle valvovalle viranomaiselle. Raportointivelvoite jakautuu kolmeen kohtaan:

• 1

  Ennakkovaroituksen toimittaminen 24 tunnin kuluessa merkittävän poikkeaman havaitsemisesta

• 2

  Poikkeamailmoituksen toimittaminen 72 tunnin kuluessa merkittävän poikkeaman havaitsemisesta

• 3

  Loppuraportin laatiminen viimeistään kuukauden kuluttua poikkeamailmoituksen toimittamisesta

Mikäli riskienhallintaa tai raportointivelvoitetta laiminlöydään, kohoavat hallinnolliset sakot miljooniin euroihin. Seurataan siis tulevia velvoitteita tarkasti, jotta vältytään turhilta sanktioilta sekä digiturhautumiselta.