NIS 2.0 – tuo karmiva direktiivimörkö. Mistä on kyse?
NIS 2.0 on EU:n lainsäädäntö, jonka tarkoituksena on parantaa kriittisten toimijoiden tietoturvaa koko EU:n alueella. Tässä tekstissä avaamme NIS 2.0 -direktiivimörköä tarkemmin ja kerromme miten ja millaisiin yrityksiin se vaikuttaa sekä milloin direktiivi astuu voimaan.
Mikä on NIS 2.0?
NIS2-direktiivi on järjestyksessä toinen verkko- ja tietojärjestelmädirektiivi. Sen tavoitteena on nostaa verkko- ja tietoturvan tasoa EU:ssa asettamalla keskeisten palvelujen toimijoille sekä digitaalisten palvelujen tarjoajille säädöksiä, jotka suojaavat niiden verkkoja ja järjestelmiä kyberuhilta. Direktiivissä on myös perustettu yhteistyöryhmä parantamaan tiedon jakamista jäsenvaltioiden välillä. Jokaisen jäsenvaltioiden tulee perustaa oma toimivaltainen viranomainen valvomaan direktiivin täytäntöönpanoa ja varmistamaan sen noudattamista.
Mihin yrityksiin NIS2 vaikuttaa?
NIS2-direktiivin vaatimuksia sovelletaan yrityksiin, jotka on nimetty keskeisten palvelujen tarjoajiksi tai digitaalisten palvelujen tarjoajiksi.
- Keskeisten palvelujen tarjoajilla tarkoitetaan yrityksiä, jotka tarjoavat kriittisen yhteiskunnallisen ja/tai taloudellisen toiminnan ylläpitämisen kannalta välttämättömiä palveluita. Esimerkkejä tällaisista palveluista ovat energia-, liikenne-, vesi-, pankki- ja rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri, kuten internet-vaihtopisteet.
- Digitaaliset palveluntarjoajat määritellään yritykset, jotka tarjoavat verkkokauppapaikkoja, online-hakukoneita ja pilvipalveluita.
Jäsenvaltiot määrittelevät itse olennaisten palvelujen operaattorit ja digitaalisten palvelujen tarjoajat, joten tarkat yritykset, joihin tämä vaikuttaa, voivat vaihdella maittain.
Kuinka direktiivi vaikuttaa yrityksiin?
NIS2-direktiivi tulee vaikuttamaan yrityksiin useilla tavoilla:
- Ensinnäkin keskeisten palveluiden toimijoiksi sekä digitaalisten palvelujen tarjoajiksi nimetyiltä yrityksiltä vaaditaan erityistoimenpiteitä verkkojen ja järjestelmien suojaamiseksi kyberuhilta. Näihin toimenpiteisiin voi sisältyä turvallisuusperiaatteiden ja -menettelyjen täytäntöönpano, säännölliset riskiarvioinnit ja tietyntyyppisten vaaratilanteiden ilmoittaminen viranomaiselle.
- Toiseksi yritysten tulee ilmoittaa viranomaiselle kaikista tapauksista, jotka vaikuttavat merkittävästi niiden keskeisten palveluiden jatkuvuuteen tai digitaalisten palveluiden tarjontaan. Heidän on myös ilmoitettava asiakkailleen ja muille asianosaisille, jos tapahtuu jotain, joka voi vaikuttaa asiakkaiden henkilötietoihin.
- Kolmanneksi yritysten on noudatettava tiukkoja turvallisuusstandardeja ja vaatimuksia verkkojen ja järjestelmien suojaamiseksi. Heidän on myös ryhdyttävä toimenpiteisiin keskeisten palveluidensa jatkuvuuden varmistamiseksi tietoturvaongelman sattuessa. Lopuksi yritysten on tehtävä yhteistyötä ja jaettava tietoja viranomaisen ja muiden alan yritysten kanssa parantaakseen yleistä tietoturvatasoaan.
Milloin direktiivi astuu voimaan?
Direktiivi on astunut voimaan 27.12.2022. Jäsenmailla on kuitenkin direktiivin voimaantulosta 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöä. Suomessa liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä. Kansallinen toimeenpano tehdään laajassa poikkihallinnollisessa yhteistyössä.
Jäämme mielenkiinnolla odottamaan milloin lainsäädäntöä muutetaan tämän osalta, ja minkälaiset vaikutukset sillä tulee olemaan yllä oleviin toimijoihin kuuluvien yritysten kyberturvallisuuden kehittämiselle. Me TNNetillä seuraamme tilannetta aktiivisesti, ja kerromme blogissamme, kun yritysten on aika alkaa kehittää omaa kyberturvallisuuttaan NIS 2.0 -direktiivin pohjalta.
Lisätietoa direktiivistä löydät: https://valtioneuvosto.fi/hanke?tunnus=LVM044:00/2022
Jos asiaa jää askarruttamaan sinua, suosittelemme olemaan yhteydessä myyntiimme. Myynnin asiantuntijat kertovat mielellään lisää direktiivistä ja sen vaikutuksista yrityksesi toimintaan!
Seuraavaksi
Haluatko tietää, koskeeko NIS 2.0 yritystäsi?
Ota yhteyttä, niin tarkastetaan koskeeko NIS 2.0 yrityksesi toimintaa. Tutkimme myös, mitä osa-alueita IT-infrassa tulee parantaa ollaksenne NIS 2.0 -yhteensopiva toimija.
