Mikä ihmeen NIS2-direktiivi? Uusi kyberturvallisempi aikakausi alkamassa
EU:n pakollinen kyberturvallisuusdirektiivi NIS2 tulee muuttamaan organisaatioiden kyberriskien hallintaa samalla tavalla kuin GDPR:n voimaantulo aikanaan, vaikka NIS2 ei kosketakaan kaikkia yhtä laajasti. Lue asiantuntijoidemme kirjoitus uuden direktiivin vaikutuksista.
NIS2-direktiivi tulee Suomessa osaksi kansallista lainsäädäntöä lokakuun puolivälissä. NIS2-direktiivi tuo merkittäviä muutoksia kyberturvallisuuteen kaikissa EU:n jäsenvaltioissa toimiville organisaatioille.
Direktiivi vaikuttaa syvällisesti organisaatioiden liiketoiminnan johtamiseen, teknologia- ja kumppanivalintoihin sekä operatiiviseen valvontaan.
– Direktiivin mukaan organisaatioiden on säännöllisesti tunnistettava ja arvioitava kyberriskejä, toteutettava riskiperusteiset suojaustoimet, ylläpidettävä poikkeamien hallintasuunnitelmaa ja raportoitava kyberhäiriöistä määräajassa ja -muotoisesti, luettelee LähiTapiolan kybervakuutusten kehityspäällikkö Eero Järvenpää.
NIS2-direktiivin myötä yritysten toimiva johto kantaa aiempaa laajempaa vastuuta kyberturvallisuuden toteuttamisesta ja valvonnasta.
– Tämä tarkoittaa, että johdon vastuu kattaa jatkossa myös kyberturvallisuuden tehtäväalueen, mikä edellyttää riskienhallinnan toimintamallin hyväksymistä ja sen toteuttamisen valvontaa. Toimivan johdon on siis mahdollistettava riskienhallinnan toteuttaminen ja valvottava sen tehokasta toimeenpanoa, toteaa Truesecin* asiantuntija Joni Lehtiniemi.
– Aina ei ole kyse omasta organisaatiosta suoraan, vaan tulevan lain vaatimukset voivat päätyä omalle pöydälle esimerkiksi toimitusketjun kautta. Lisäksi tämä on oivallinen tilaisuus myös muille toimijoille tarkistaa omia käytäntöjään kyberriskeihin varautumisen osalta, Järvenpää sanoo.
Johdolla keskeinen rooli kyberturvallisuuden varmistamisessa
Direktiivin vaatimukset toteutetaan kansallisten lakien kautta, joihin kuuluu uusi laki kyberturvallisuuden riskienhallinnasta sekä muutoksia julkisen hallinnon tiedonhallinnasta ja sähköisen viestinnän palveluista annettuihin lakeihin. Aiemmat NIS1-täytäntöönpanosäännökset kumotaan sektorikohtaisista laeista.
Organisaatioiden on määriteltävä selkeästi roolit ja vastuut kyberturvallisuuden suhteen sekä sisäisesti että ulkoisesti toimitusketjun osalta. Tämä edellyttää toimivan johdon aktiivista osallistumista riskienhallintaan ja sen valvontaan, mikä korostaa johdon keskeistä roolia kyberturvallisuuden varmistamisessa.
Direktiivin vaatimukset toteutetaan seuraavien kansallisten lakien kautta:
1. Laki kyberturvallisuuden riskienhallinnasta (uusi laki)
2. Laki julkisen hallinnon tiedonhallinnasta (lakia muutetaan)
3. Laki sähköisen viestinnän palveluista (lakia muutetaan).
Keitä kaikkia direktiivi koskee?
NIS2 koskee kaikkia suuryrityksiä ja kriittisiksi määritellyillä aloilla toimivia organisaatioita. Näitä ovat esimerkiksi energia, liikenne, julkishallinto, pankki- ja rahoitus sekä vesi- ja jätehuolto. Katso tarkempi listaus
Soveltamisalan tulkinta voi olla haastavaa, ja jokaisen toimijan tuleekin itse selvittää, onko heidän toiminnassaan sovellettava tämän lain määräyksiä. Yritykset, joiden toimitusketjuissa on NIS2-toimija, tulevat ulottamaan vaatimukset myös toimitusketjuunsa.
Aina ei ole kyse omasta organisaatiosta
NIS2-vaatimukset tulevat käytännössä koskemaan monia sellaisia toimijoita, jotka eivät suoraan täytä NIS2-keskeisen tai tärkeän toimijan määritelmän ehtoja, mutta ovat toimitusketjussa, jossa NIS2-toimija tulee ulottamaan alihankinta- ja kumppanisopimusten kautta NIS2-vaatimuksia myös toimitusketjulleen. Näin ollen asiaan on hyvä suhtautua avoimesti ja käydä keskustelua kumppaneiden ja omien toimitusketjujen toimijoiden kanssa, jotta vältytään ikäviltä yllätyksiltä niin arjessa kuin sopimusneuvotteluissakin.
Koskeeko tämä sitten organisaatiota, jos se ei ole suoraan NIS2-toimija tai osa NIS2-toimitusketjua?
– Ei suoranaisesti, mutta lämmin suositukseni on perehtyä tulevaan lainsäädäntöön sekä erityisesti
Miksi tähänkin tarvitaan erillinen laki?
Kyberturvaan on annettu paljon suosituksia, ohjeita ja aiemmin on säädetty NIS1-laki. Nämä eivät kuitenkaan ole riittävissä määrin parantaneet kyberturvallisuutta, joten uusi, aiempaa tiukempi laki on katsottu tarpeelliseksi, jotta EU-alueella saavutettaisiin tietty kyberturvan minimitaso.
– Olen verrannut NIS2:ta turvavyöpakkoon, joka on aikanaan tullut osaksi lainsäädäntöä. Tässä on pitkälti samasta asiasta kyse: pelkkä turvavöiden olemassaolo autossa ei ole riittävässä määrin lisännyt niiden käyttöä, vaikka turvavöiden käyttäminen vähentää liikennekuolemia huomattavasti. Käyttö ei aikanaan lisääntynyt valistamalla ja suosittamalla, jolloin jäljelle jäi yleisen turvallisuuden vuoksi tehdä turvavyön käytöstä pakollista, vertaa Truesecin asiantuntija Joonas Simolin ja jatkaa:
– NIS2 pakottaa siis sakon uhalla ottamaan käyttöön kyberturvaan liittyviä suojamuureja, jotta EU:n kyberturvallisuus olisi paremmalla tasolla. Tässä alkuvaiheessa on haluttu suojata nimenomaan kriittiset yritykset ja niiden toimitusketjut, joiden kyberturvan vaarantumisella olisi yhteiskunnallisesti merkittäviä vaikutuksia.
NIS2 on jo toinen iteraatio tietoturvalainsäädännöstä ja tuskin jää viimeiseksi, vaan seuraavassa vaiheessa vaatimuksia tarkistetaan, kiristetään ja laajennetaan tarpeen mukaan, aivan kuten autojen vaaditaan nykyään varoittavan, mikäli turvavyö on auki.
– Yritykset, jotka eivät ajoissa ala parantamaan kyberturvaansa, alkavat kerryttää ns. tietoturvavelkaa. Tietoturvavelka voi myöhemmässä vaiheessa tulla kalliiksi, joko onnistuneen hyökkäyksen tai suuria investointeja vaativan korjausurakan muodossa, summaa Simolin.
Aloita näistä:
1. Tutustu NIS2:een ja selvitä,
onko organisaatiosi suoraan NIS2-toimija .2. Selvitä ja avaa keskustelu kumppani- ja alihankintaverkostoissanne siitä, miten tuleva laki vaikuttaa muihin toimijoihin, ja heijastuvatko nämä vaikutukset myös omaan organisaatioosi.
3. Tutustu joka tapauksessa
Kyberturvallisuuskeskuksen valmisteilla olevaan riskienhallinnan toimenpidesuositukseen , ja mieti, olisiko siinä organisaatiollesi hyödyllisiä toimenpiteitä.
*Juttu on kirjoitettu yhteistyössä Truesecin kanssa. Truesec on LähiTapiolan kybervakuuttamisen yhteistyökumppani.