Artikkelit NIS 2 -tietoturvadirektiivi – Mitä on odotettavissa?

NIS 2 -tietoturvadirektiivi – Mitä on odotettavissa?

Euroopan unionin NIS 2 -direktiivi on uusi kyberturvallisuutta koskeva lainsäädäntö. Uudella direktiivillä halutaan yhtenäistää ja parantaa EU:n kyberturvallisuuden tasoa ja varmistaa, että yhteiskunnalle kriittisiä tai olennaisia palveluita tuottavat yritykset ovat suojattuja kyberhyökkäyksiltä ja muilta tietoturvauhilta.

NIS 2 asettaa palveluntarjoajille entistä tiukempia tietojen ja verkkojen turvallisuuteen liittyviä velvoitteita. Uusi direktiivin soveltaminen alkaa Suomessa 18.10.2024. 

Ketä NIS 2 koskee?

NIS 2 koskee automaattisesti kaikkia kriittisellä toimialoilla toimivia keskisuuria (yli 50 henkilöä ja liikevaihto yli 10 milj.) ja suuria yrityksiä. Direktiivin piiriin kuuluvat koosta riippumatta myös kaikki kansallisesti kriittiseksi toimijoiksi määritellyt yritykset.

Kriittiset toimialat on jaettu keskeisiin ja tärkeisiin toimijoihin. Molemmilta vaaditaan samoja kyberturvallisuuden toimia, mutta raportointivelvollisuus ja sanktiot poikkeavat toisistaan jonkin verran. 

Keskeiset toimijat:

Tärkeät toimijat:

Tässä yhteydessä on hyvä huomioida, että NIS 2 -direktiiviä noudattava yritys ei voi tilata palvelua organisaatiolta, jonka tietoturva on liian alhaisella tasolla. Tästä johtuen myös pienten yritysten, jotka tuottavat palvelua kriittisten alojen suurille ja keskisuurille toimijoille, on perusteltua uudelleenarvioida tietoturvaansa NIS 2:n valossa. 

Mitä organisaatioilta vaaditaan?

NIS 2 edellyttää, että direktiivin koskettamat yritykset varmistavat tietojärjestelmiensä turvallisuuden. Yritysten tulee pysytyä havaitsemaan mahdolliset tietoturvauhat ja reagoimaan niihin sekä raportoimaan viranomaisille toimintaa häiritsevistä poikkeamista ja läheltä piti -tilanteista. Lisäksi yritysten on laadittava ja pidettävä yllä NIS 2:n vaatimukset kattava tietoturvapolitiikka ja -suunnitelma.

NIS 2 velvoittaa yrityksiä saattamaan kuntoon ja pitämään ajantasaisina vähintään seuraavat asiat:

Mitä seuraa, jos NIS 2:n vaatimuksia ei noudata?

Keskeisiä toimijoita valvotaan aktiiviisesti ennakolta ja tärkeitä toimijoita passiivisesti jälkikäteen. Hallinnolliset seuraamukset laiminlyönneistä ovat merkittäviä.

Yrityksen laiminlyödessä olennaisesti tai vakavasti riskienhallintamallia ja sen toteutusta, viranomainen voi puuttua toimintaan. Seurauksena voi olla huomautus tai varoitus, liiketoiminnan väliaikainen keskeyttäminen ja viime kädessä toimitusjohtajan tai vastaavan laillisen edustajan johtotehtäväkielto. 

Merkittävän huolimattomuuden kohdalla voidaan käyttöön ottaa seuraamusmaksuja. Keskeisille toimijoille hallinnollinen sakko on enintään 10 miljoonaa euroa tai 2 prosenttia liikevaihdosta. Tärkeiden toimijoiden kohdalla sakon enimmäismäärät ovat 7 miljoonaa euroa tai 1,4 prosenttia liikevaihdosta.

Tukea NIS 2:n vaatimusten täyttämiseen

Vielä ehdit valmistautua ja varmistaa yrityksen tietoturvan NIS 2:n vaatimalle minimitasolle. Ota yhteyttä TNNetin asiantuntijoihin, niin mietitään yhdessä, kuinka voimme palveluilla ja osaamisellamme olla yrityksesi apuna vaatimuksenmukaisuuden täyttämisessä. 

Kattavan tietopaketin NIS 2 -direktiivistä löydät Kyberturvallisuuskeskuksen sivuilta: https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/nis2-euroopan-unionin-kyberturvallisuusdirektiivi

Seuraavaksi

Tuottaako NIS 2 päänvaivaa?

Meiltä löytyy keinoja auttaa yrityksiä NIS 2 -direktiivin vaatimusten täyttämisessä. Kartoitetaan tilanne, ja suunnitellaan sopivat toimenpiteet. Ota yhteyttä!