Lokakuussa 2024 voimaan astuvat kaksi keskeistä EU-direktiiviä, verkko- ja tietoturvadirektiivi NIS2 ja resilienssidirektiivi CER.
NIS2- ja CER-direktiivit tuovat mukanaan merkittäviä velvoitteita, mutta tarjoavat samalla selkeät toimintalinjat organisaatioille, joiden on turvattava kriittiset palvelut ja infrastruktuuri. Direktiivien keskeisenä tavoitteena on varmistaa, että organisaatio kykenee hallitsemaan kyberturvallisuusriskit tehokkaasti ja säilyttämään palveluiden toimintavarmuus myös häiriötilanteissa.
NIS2-direktiivi asettaa erityisen painoarvon tietoturvan hallintaan ja raportointivelvoitteisiin, mikä tarkoittaa, että kyberturvatoimenpiteiden on oltava kunnossa.
CER-direktiivi puolestaan korostaa liiketoiminnan jatkuvuuden suunnittelua ja kykyä palautua häiriötilanteista mahdollisimman nopeasti.
Molempien direktiivien päämääränä on suojata yhteiskunnan kannalta elintärkeitä palveluita ja varmistaa niiden keskeytymätön toiminta. Lisäksi NIS2-direktiivi on sanktioitu eli siinä voidaan määrätään kyberturvallisuusriskien hallintaa ja raportointia koskevien velvoitteiden rikkomisesta kovia sakkoja. Lisäksi yritysten johtajia voidaan yksilötasolla hyllyttää tehtävistään, mikäli he eivät onnistu valvomaan tietoturvan tilaa tai reagoimaan poikkeamiin vaaditulla tavalla.
Molemmat direktiivit tuovat organisaatioille pakollisia velvoitteita
NIS2-direktiivi nostaa EU:n ja jäsenvaltioiden kyberturvallisuuden tasoa, tuoden mukanaan raportointivelvoitteita ja minimitason vaatimuksia. CER-direktiivi taas painottaa jatkuvuussuunnittelua ja kriisinsietokykyä, varmistaen, että kriittiset palvelut selviävät myös häiriötilanteissa. NIS2-direktiivi koskee lisäksi kaikkia niitä toimijoita, jotka on luokiteltu kriittisiksi CER-direktiivin perusteella.
Direktiivi | CER-direktiivi | NIS2-direktiivi |
---|---|---|
Mistä on kysymys | Euroopan Unionin CER-direktiivi, eli “Critical Entities Resilience Directive” tavoitteena on yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn (eli resilienssin) parantaminen. | NIS2- eli Network and Information Security -direktiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta. |
Astuu voimaan | Tulee osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. | Tulee osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. |
Soveltamisalat |
Kriittiset toimialat
|
Erittäin kriittiset toimialat:
Muut kriittiset toimialat:
|
Mitä edellyttää käytännössä |
Häiriönsietokykyä koskevaan suunnitelmaan olisi sisällytettävä mm.:
|
NIS2-direktiivi edellyttää mm.:
|
Valmius vastata uusiin velvoitteisiin – näin organisaatiosi hyötyy valmistautumisesta
Direktiivien noudattaminen ei ole pelkkä lakisääteinen velvoite, vaan selkeä kilpailuetu: kriittisten palveluiden suojaaminen ja tietoturvan vahvistaminen lisäävät organisaation resilienssiä ja luotettavuutta, mikä on ratkaisevaa nopeasti muuttuvassa liiketoimintaympäristössä.
Hyvin toteutettu liiketoiminnan jatkuvuudenhallinta sekä tietoturvanhallintajärjestelmät luovat vahvan pohjan direktiivien vaatimusten täyttämiselle. Suomessa kehitetty Kyberturvallisuuskeskuksen Kybermittari on tehokas työkalu kriittisen infrastruktuurin toimijoille, joiden on arvioitava kypsyyttään vastaamaan muun muassa NIS2-direktiivin asettamiin vaatimuksiin. Kybermittari tarjoaa monia samankaltaisia riskienhallintakeinoja, jotka tukevat direktiivien noudattamista käytännössä.
Jos organisaationne ei vielä ole täysin valmis, autamme selvittämään nykytilanteen ja kehityskohteet muun muassa liiketoiminnan riskienhallinnan jatkuvuudenhallinnan, valmiussuunnittelun ja kyberturvallisuuden osalta. Voimme myös auttaa turvallisuuden johtamisjärjestelmän käyttöönotossa, esimerkiksi ISO27001 pohjaisesti. Näin varmistatte, että täytätte sekä NIS2- että CER-direktiivien vaatimukset ajoissa.
Muita hyödyllisiä materiaaleja CER- ja NIS2 -direktiiveistä
Lisätietoa ja tukea löytyy myös Finnish Information Security Clusterin (FISC) – Kyberala ry:n julkaisemasta NIS2-direktiivin kansallisesta soveltamisoppaasta. Oppaan tavoitteena on auttaa suomalaisia yrityksiä vastaamaan uusiin lainsäädäntövelvoitteisiin. Tutustu oppaaseen täällä!
Tutustu CGI:n tietoturvatarkastukseen ja esiauditointeihin