NIS2 on Euroopan Unionin uusi verkko- ja tietoturvadirektiivi, joka astuu voimaan lokakuussa 2024. Uusi direktiivi, joka korvaa aiemman NIS1-direktiivin, on edeltäjäänsä laajempi ja tiukempi.
Erityisintä NIS2:ssa kuitenkin on, että vaatimukset suunnataan jatkossa hyvin vahvasti yritysten ja organisaatioiden johtoportaisiin – minkä uskon tulevan monille yllätyksenä. Onkin tärkeää, että johtajat aloittavat uusiin vaatimuksiin ja omiin tietoturvavastuisiinsa perehtymisen heti, sillä muuten seuraukset voivat olla vuoden kuluttua vakavia.
Uuden direktiivin merkittävimmät vaatimukset
NIS2 korostaa poikkeuksellisen kovalla kielellä johtajien vastuuta yrityksen tietoturvasta. Direktiivin mukaan johdon velvollisuus on johtaa tietoturvatyötä ja varmistaa, että määrätyt tietoturvamenettelyt toteutuvat. Johto ei myöskään voi ongelmatilanteissa vedota epätietoisuuteen, vaan johtoasemassa toimimisen vaatimukseksi linjataan se, että kouluttautuu tarpeeksi syvällisesti tietoturva-aiheista voidakseen tehdä päätöksiä.
NIS2 linjaa myös, että yrityksellä on oltava tietoturvan kannalta näkyvyys koko organisaatioon ja että ongelmatilanteissa on toimittava ulospäin nopeasti. Esimerkiksi GDPR:n puitteissa henkilötietojen tietoturvaloukkauksesta on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa tapahtumasta. NIS2:n alla tietosuojaloukkauksesta tai muusta merkittävästä poikkeamasta on kuitenkin annettava ennakkovaroitus jo 24 tunnin sisällä.
Uuden direktiivin laajuudesta taas kertoo se, että ensi syksystä lähtien yrityksillä on velvollisuus suojata ja valvoa koko toimitusverkostoaan tietoturvauhilta. Vastuu ei siis rajoitu ainoastaan omaan yritykseen.
NIS2 koskee kaikkia suuryrityksiä sekä erityisesti kaikkia kriittisiksi määritellyillä aloilla toimivia yrityksiä. Näitä ovat esimerkiksi energia, liikenne, DNS-palvelujen tarjoajat, julkishallinto ja jätehuolto. Toisin sanoen, jos toimit kriittisten palvelujen häiriönsietokyvyn parantamiseen pyrkivän CER-direktiivin alla, toimit myös NIS2-direktiivin alla.
Vaatimusten laiminlyönnin seuraukset
NIS2-direktiivissä määrätään kyberturvallisuusriskien hallintaa ja raportointia koskevien velvoitteiden rikkomisesta kovia sakkoja. Keskeisiksi määriteltyjen toimijoiden osalta sakot ovat vähintään 10 miljoonaa euroa tai kaksi prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Tärkeiksi määriteltyjen toimijoiden sakot taas ovat vähintään seitsemän miljoonaa euroa tai 1,4 prosenttia maailmanlaajuisesta liikevaihdosta. Lisäksi yritysten johtajia voidaan yksilötasolla hyllyttää tehtävistään, mikäli he eivät onnistu valvomaan tietoturvan tilaa tai reagoimaan poikkeamiin vaaditulla tavalla.
Mitä yritysten tulisi nyt tehdä?
Tässä vinkit kaikille, jotka haluavat varmistaa olevansa valmiita NIS2-direktiivin tuloon.
- Kartoita uhkakenttä: mitä tietoturvauhkia alallasi ja sijainnissasi on?
- Valuta tieto uhista läpi koko organisaatiosi: miten uhkakuvan toteutuminen vaikuttaisi yrityksen toimintaan eri tasoilla?
- Tunnista assettisi: mitä palvelimia ja laitteita organisaatiossa on, ja voidaanko niitä valvoa?
- Luo strateginen riskiarvio ja riittävät riskinhallintatoimet, jotka jalkautetaan koko organisaatioon.
Tekemistä on paljon. Hyvä uutinen on, että kaikkea ei tarvitse tehdä yksin. Asiantuntija-apua on tarjolla, kunhan sitä hoksaa ajoissa pyytää.
Kirjoittajasta
Ilmari Luoma
kyberturvallisuusyksikön johtava tietoturva-asiantuntija
Olen Ilmari Luoma, johtava tietoturvallisuusasiantuntija CGI:n kyberturvallisuusyksikössä. Tällä hetkellä toimin turvallisuusarkkitehtuurin suunnittelutehtävissä, sekä tietoturvapoikkeamien vastatoimenpiteiden koordinointitehtävissä.
