NIS 2 -tietoturvadirektiivi – Mitä on odotettavissa?
Euroopan unionin NIS 2 -direktiivi on uusi kyberturvallisuutta koskeva lainsäädäntö. Uudella direktiivillä halutaan yhtenäistää ja parantaa EU:n kyberturvallisuuden tasoa ja varmistaa, että yhteiskunnalle kriittisiä tai olennaisia palveluita tuottavat yritykset ovat suojattuja kyberhyökkäyksiltä ja muilta tietoturvauhilta.
NIS 2 asettaa palveluntarjoajille entistä tiukempia tietojen ja verkkojen turvallisuuteen liittyviä velvoitteita. Uusi direktiivin soveltaminen alkaa Suomessa 18.10.2024.
Ketä NIS 2 koskee?
NIS 2 koskee automaattisesti kaikkia kriittisellä toimialoilla toimivia keskisuuria (yli 50 henkilöä ja liikevaihto yli 10 milj.) ja suuria yrityksiä. Direktiivin piiriin kuuluvat koosta riippumatta myös kaikki kansallisesti kriittiseksi toimijoiksi määritellyt yritykset.
Kriittiset toimialat on jaettu keskeisiin ja tärkeisiin toimijoihin. Molemmilta vaaditaan samoja kyberturvallisuuden toimia, mutta raportointivelvollisuus ja sanktiot poikkeavat toisistaan jonkin verran.
Keskeiset toimijat:
- Energia-ala
- Liikenne
- Pankki ja finanssiala
- Vesihuolto
- Terveydenhuolto
- IT-infra
- ICT-palvelut
- Julkishallinto
- Avaruusalan toimijat
Tärkeät toimijat:
- Posti- ja kuriiripalvelut
- Elintarvikkeiden valmistus, tuotanto ja jakelu
- Valmistava teollisuus
- Kemianteollisuus
- Jätehuolto
- Digitaalisten palveluiden tarjoajat
- Tutkimustoiminta
Tässä yhteydessä on hyvä huomioida, että NIS 2 -direktiiviä noudattava yritys ei voi tilata palvelua organisaatiolta, jonka tietoturva on liian alhaisella tasolla. Tästä johtuen myös pienten yritysten, jotka tuottavat palvelua kriittisten alojen suurille ja keskisuurille toimijoille, on perusteltua uudelleenarvioida tietoturvaansa NIS 2:n valossa.
Mitä organisaatioilta vaaditaan?
NIS 2 edellyttää, että direktiivin koskettamat yritykset varmistavat tietojärjestelmiensä turvallisuuden. Yritysten tulee pysytyä havaitsemaan mahdolliset tietoturvauhat ja reagoimaan niihin sekä raportoimaan viranomaisille toimintaa häiritsevistä poikkeamista ja läheltä piti -tilanteista. Lisäksi yritysten on laadittava ja pidettävä yllä NIS 2:n vaatimukset kattava tietoturvapolitiikka ja -suunnitelma.
NIS 2 velvoittaa yrityksiä saattamaan kuntoon ja pitämään ajantasaisina vähintään seuraavat asiat:
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat
- Poikkeamien käsittely
- Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
- Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus
- Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
- Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
- Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa
Mitä seuraa, jos NIS 2:n vaatimuksia ei noudata?
Keskeisiä toimijoita valvotaan aktiiviisesti ennakolta ja tärkeitä toimijoita passiivisesti jälkikäteen. Hallinnolliset seuraamukset laiminlyönneistä ovat merkittäviä.
Yrityksen laiminlyödessä olennaisesti tai vakavasti riskienhallintamallia ja sen toteutusta, viranomainen voi puuttua toimintaan. Seurauksena voi olla huomautus tai varoitus, liiketoiminnan väliaikainen keskeyttäminen ja viime kädessä toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto.
Merkittävän huolimattomuuden kohdalla voidaan käyttöön ottaa seuraamusmaksuja. Keskeisille toimijoille hallinnollinen sakko on enintään 10 miljoonaa euroa tai 2 prosenttia liikevaihdosta. Tärkeiden toimijoiden kohdalla sakon enimmäismäärät ovat 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta.
Tukea NIS 2:n vaatimusten täyttämiseen
Vielä ehdit valmistautua ja varmistaa yrityksen tietoturvan NIS 2:n vaatimalle minimitasolle. Ota yhteyttä TNNetin asiantuntijoihin, niin mietitään yhdessä, kuinka voimme palveluilla ja osaamisellamme olla yrityksesi apuna vaatimuksenmukaisuuden täyttämisessä.
Kattavan tietopaketin NIS 2 -direktiivistä löydät Kyberturvallisuuskeskuksen sivuilta: https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/nis2-euroopan-unionin-kyberturvallisuusdirektiivi
Seuraavaksi
Tuottaako NIS 2 päänvaivaa?
Meiltä löytyy keinoja auttaa yrityksiä NIS 2 -direktiivin vaatimusten täyttämisessä. Kartoitetaan tilanne, ja suunnitellaan sopivat toimenpiteet. Ota yhteyttä!
Lue seuraavaksi nämä
Kuinka SWG suodattaa haitallisen verkkoliikenteen?
Minkälaisiin tietoturvauhkiin tulisi lähitulevaisuudessa varautua?
Etätyön tietoturvariskit kuriin SWG:llä – Secure Web Gateway
Työharjoittelu TNNetillä venyi vakityön mittaiseksi
NIS 2 -tietoturvadirektiivi – Mitä on odotettavissa?
”Asiakkaan tulee saada palvelua, joka jää mieleen.”
Tutustu: Tietoturvakoulutus ja hyökkäyssimulaatio
Voiko kiristyshyökkäyksestä toipua parissa päivässä? – Muuramen kunta ja TNNet tekivät ihmeitä
Muista henkilökunnan osuus tietoturvassa – Apuna hyökkäyssimulaatio ja tietoturvakoulutus
Webinaari – Nopea toipuminen ransomware-hyökkäyksestä
Miksi kannattaa siirtää virtuaalipalvelimet TNNetille?
Palvelimen siirto TNNetin kanssa: Minimoimme katkot ja ongelmat!
