Mikä ihmeen NIS2-direktiivi?

Turvallisuus1.10.2024

Mikä ihmeen NIS2-direktiivi? Uusi kyberturvallisempi aikakausi alkamassa

EU:n pakollinen kyberturvallisuusdirektiivi NIS2 tulee muuttamaan organisaatioiden kyberriskien hallintaa samalla tavalla kuin GDPR:n voimaantulo aikanaan, vaikka NIS2 ei kosketakaan kaikkia yhtä laajasti. Lue asiantuntijoidemme kirjoitus uuden direktiivin vaikutuksista.

NIS2-direktiivi koskee kaikkia suuryrityksiä ja kriittisiksi määritellyillä aloilla toimivia organisaatioita.

NIS2-direktiivi tulee Suomessa osaksi kansallista lainsäädäntöä lokakuun puolivälissä. NIS2-direktiivi tuo merkittäviä muutoksia kyberturvallisuuteen kaikissa EU:n jäsenvaltioissa toimiville organisaatioille.

Direktiivi vaikuttaa syvällisesti organisaatioiden liiketoiminnan johtamiseen, teknologia- ja kumppanivalintoihin sekä operatiiviseen valvontaan.

– Direktiivin mukaan organisaatioiden on säännöllisesti tunnistettava ja arvioitava kyberriskejä, toteutettava riskiperusteiset suojaustoimet, ylläpidettävä poikkeamien hallintasuunnitelmaa ja raportoitava kyberhäiriöistä määräajassa ja -muotoisesti, luettelee LähiTapiolan kybervakuutusten kehityspäällikkö Eero Järvenpää.

NIS2-direktiivin myötä yritysten toimiva johto kantaa aiempaa laajempaa vastuuta kyberturvallisuuden toteuttamisesta ja valvonnasta.

– Tämä tarkoittaa, että johdon vastuu kattaa jatkossa myös kyberturvallisuuden tehtäväalueen, mikä edellyttää riskienhallinnan toimintamallin hyväksymistä ja sen toteuttamisen valvontaa. Toimivan johdon on siis mahdollistettava riskienhallinnan toteuttaminen ja valvottava sen tehokasta toimeenpanoa, toteaa Truesecin* asiantuntija Joni Lehtiniemi.

– Aina ei ole kyse omasta organisaatiosta suoraan, vaan tulevan lain vaatimukset voivat päätyä omalle pöydälle esimerkiksi toimitusketjun kautta. Lisäksi tämä on oivallinen tilaisuus myös muille toimijoille tarkistaa omia käytäntöjään kyberriskeihin varautumisen osalta, Järvenpää sanoo.

Johdolla keskeinen rooli kyberturvallisuuden varmistamisessa

Direktiivin vaatimukset toteutetaan kansallisten lakien kautta, joihin kuuluu uusi laki kyberturvallisuuden riskienhallinnasta sekä muutoksia julkisen hallinnon tiedonhallinnasta ja sähköisen viestinnän palveluista annettuihin lakeihin. Aiemmat NIS1-täytäntöönpanosäännökset kumotaan sektorikohtaisista laeista.

Organisaatioiden on määriteltävä selkeästi roolit ja vastuut kyberturvallisuuden suhteen sekä sisäisesti että ulkoisesti toimitusketjun osalta. Tämä edellyttää toimivan johdon aktiivista osallistumista riskienhallintaan ja sen valvontaan, mikä korostaa johdon keskeistä roolia kyberturvallisuuden varmistamisessa.

Direktiivin vaatimukset toteutetaan seuraavien kansallisten lakien kautta:

1. Laki kyberturvallisuuden riskienhallinnasta (uusi laki)

2. Laki julkisen hallinnon tiedonhallinnasta (lakia muutetaan)

3. Laki sähköisen viestinnän palveluista (lakia muutetaan).

Keitä kaikkia direktiivi koskee?

NIS2 koskee kaikkia suuryrityksiä ja kriittisiksi määritellyillä aloilla toimivia organisaatioita. Näitä ovat esimerkiksi energia, liikenne, julkishallinto, pankki- ja rahoitus sekä vesi- ja jätehuolto. Katso tarkempi listaus Kyberturvallisuuskeskuksen taulukosta.

Soveltamisalan tulkinta voi olla haastavaa, ja jokaisen toimijan tuleekin itse selvittää, onko heidän toiminnassaan sovellettava tämän lain määräyksiä. Yritykset, joiden toimitusketjuissa on NIS2-toimija, tulevat ulottamaan vaatimukset myös toimitusketjuunsa.

Aina ei ole kyse omasta organisaatiosta

NIS2-vaatimukset tulevat käytännössä koskemaan monia sellaisia toimijoita, jotka eivät suoraan täytä NIS2-keskeisen tai tärkeän toimijan määritelmän ehtoja, mutta ovat toimitusketjussa, jossa NIS2-toimija tulee ulottamaan alihankinta- ja kumppanisopimusten kautta NIS2-vaatimuksia myös toimitusketjulleen. Näin ollen asiaan on hyvä suhtautua avoimesti ja käydä keskustelua kumppaneiden ja omien toimitusketjujen toimijoiden kanssa, jotta vältytään ikäviltä yllätyksiltä niin arjessa kuin sopimusneuvotteluissakin.

Koskeeko tämä sitten organisaatiota, jos se ei ole suoraan NIS2-toimija tai osa NIS2-toimitusketjua?

– Ei suoranaisesti, mutta lämmin suositukseni on perehtyä tulevaan lainsäädäntöön sekä erityisesti Kyberturvallisuuskeskuksen valmisteilla olevaan riskienhallinnan toimenpidesuositukseen. Nyt on vihdoinkin kansallisella tasolla yhteisiä kyberturvallisuuden toimenpidesuosituksia, joista on soveltuvin osin varmasti hyötyä kaikenkokoisille ja tyyppisille toimijoille. Näitä samoja riskinhallinnan toimenpiteitä peräänkuuluttavat myös kybervakuuttajat, Järvenpää sanoo.

Miksi tähänkin tarvitaan erillinen laki?

Kyberturvaan on annettu paljon suosituksia, ohjeita ja aiemmin on säädetty NIS1-laki. Nämä eivät kuitenkaan ole riittävissä määrin parantaneet kyberturvallisuutta, joten uusi, aiempaa tiukempi laki on katsottu tarpeelliseksi, jotta EU-alueella saavutettaisiin tietty kyberturvan minimitaso.

– Olen verrannut NIS2:ta turvavyöpakkoon, joka on aikanaan tullut osaksi lainsäädäntöä. Tässä on pitkälti samasta asiasta kyse: pelkkä turvavöiden olemassaolo autossa ei ole riittävässä määrin lisännyt niiden käyttöä, vaikka turvavöiden käyttäminen vähentää liikennekuolemia huomattavasti. Käyttö ei aikanaan lisääntynyt valistamalla ja suosittamalla, jolloin jäljelle jäi yleisen turvallisuuden vuoksi tehdä turvavyön käytöstä pakollista, vertaa Truesecin asiantuntija Joonas Simolin ja jatkaa:

– NIS2 pakottaa siis sakon uhalla ottamaan käyttöön kyberturvaan liittyviä suojamuureja, jotta EU:n kyberturvallisuus olisi paremmalla tasolla. Tässä alkuvaiheessa on haluttu suojata nimenomaan kriittiset yritykset ja niiden toimitusketjut, joiden kyberturvan vaarantumisella olisi yhteiskunnallisesti merkittäviä vaikutuksia.

NIS2 on jo toinen iteraatio tietoturvalainsäädännöstä ja tuskin jää viimeiseksi, vaan seuraavassa vaiheessa vaatimuksia tarkistetaan, kiristetään ja laajennetaan tarpeen mukaan, aivan kuten autojen vaaditaan nykyään varoittavan, mikäli turvavyö on auki.

– Yritykset, jotka eivät ajoissa ala parantamaan kyberturvaansa, alkavat kerryttää ns. tietoturvavelkaa. Tietoturvavelka voi myöhemmässä vaiheessa tulla kalliiksi, joko onnistuneen hyökkäyksen tai suuria investointeja vaativan korjausurakan muodossa, summaa Simolin.

Aloita näistä:

1.
Tutustu NIS2:een ja selvitä, onko organisaatiosi suoraan NIS2-toimija.
2.
Selvitä ja avaa keskustelu kumppani- ja alihankintaverkostoissanne siitä, miten tuleva laki vaikuttaa muihin toimijoihin, ja heijastuvatko nämä vaikutukset myös omaan organisaatioosi.
3.
Tutustu joka tapauksessa Kyberturvallisuuskeskuksen valmisteilla olevaan riskienhallinnan toimenpidesuositukseen, ja mieti, olisiko siinä organisaatiollesi hyödyllisiä toimenpiteitä.

*Juttu on kirjoitettu yhteistyössä Truesecin kanssa. Truesec on LähiTapiolan kybervakuuttamisen yhteistyökumppani.

Ajankohtaista

Elämänturva11.12.2024Green Cardin voi esittää vuoden alusta alkaen myös digitaalisesti

Green Cardin eli Vihreän kortin voi esittää 1.1.2025 alkaen joko paperisena tai suoraan mobiililaitteen kuten matkapuhelimen näytöltä. Uudistus tuo joustavuutta kuljetusyrityksille sekä niille, jotka matkustavat omalla ajoneuvolla Suomen rajojen ulkopuolelle.

Terveys11.12.2024Hoitoonpääsyn haaste ei ole yksin julkisen terveydenhuollon ongelma, myös terveysvakuutusten kannattavuus on heikko – ”Vastakkainasettelu julkisen ja yksityisen terveydenhuollon sekä vakuutusten välillä turhaa”

Tuoreen kyselyn mukaan 82 prosenttia suomalaisista hakeutuisi ensisijaisesti julkiseen terveydenhuoltoon, jos vakuutusta tai mahdollisuutta työterveys- tai opiskelijaterveydenhuoltoon ei olisi, kerrottiin LähiTapiolan mediatilaisuudessa.

Elämänturva9.12.2024Toisen huoltajan kuolema vie perheen tuloista puolet, mutta kuluista vain viidenneksen – vain 14 prosenttia varautunut henkivakuutuksella

Suomalaiset eivät varaudu kuoleman taloudellisiin vaikutuksiin riittävästi. Elämisen kulut on yleensä mitoitettu nykyisen tulotason mukaan, joten ongelmia voi syntyä, jos rahaa ei kuukausittain tule entiseen tapaan.

Katso lisää ajankohtaisia