Ammattilaiselta ammattilaiselle - Tarinoita yli 200 kouluttajakumppanin verkostolta

Yleinen

NIS2-direktiivi: Miten yritys voi valmistautua?

Euroopan unionin NIS2-direktiivin siirtymäaika on parhaillaan menossa, tavoitteena on parantaa tietoturvallisuutta. Direktiivin soveltaminen on tulossa myös Suomen lakiin.

NIS2 on Euroopan unionin direktiivi, jonka tavoitteena on parantaa tietoturvallisuutta. Direktiivin tarkoituksena on varmistaa tietoturvan taso Euroopan unionissa. Direktiivissä määritellään jäsenvaltioiden velvollisuudet ja vastuualueet tietoturvan hallinnassa. Euroopan unionin jäsenvaltioiden tulee nimetä viranomaiset, jotka vastaavat NIS2-direktiivin täytäntöönpanosta.

Direktiiviä sovelletaan eri yrityksiin sekä organisaatioihin, mukaan lukien keskeisten palvelujen tarjoajat ja digitaalisten palvelujen tarjoajat. Se sisältää säännöksiä tietoturvan hallintajärjestelmistä, erilaisista turvallisuustoimenpiteistä, ilmoitusvelvollisuudesta sekä yhteistyöstä. Se edellyttää yrityksiltä tai organisaatioilta muun muassa riskienhallintaa, tietoturvahäiriöiden ilmoittamista ja yhteistyötä kansallisten viranomaisten kanssa

Direktiivin tavoitteena on lisätä näiden organisaatioiden tietoturvaa, osoittamalla vaatimuksia tietoturvaan ja raportoimaan tietoturvaloukkauksista asianomaisille viranomaisille. Direktiivissä määrätään myös seuraamuksia noudattamatta jättämisestä, mukaan lukien sakot.

Keitä direktiivi koskee?

NIS2-direktiivi koskee erilaisia yrityksiä sekä organisaatioita, jotka toimivat kriittisillä toimialoilla. Näihin kriittisiin toimialoihin kuuluvat muun muassa seuraavat:

  • Liikenne, esimerkkeinä lentoliikenne, satamat, rautatiet ja maantiekuljetukset.
  • Energia, kuten sähköntuotanto, jakelu sekä varastointi.
  • Pankit ja muut rahoituspalvelut.
  • Kriittiset palveluntarjoajat, kuten terveydenhuolto, vesihuolto ja elintarviketurvallisuus, sekä teleoperaattorit ja IT-palveluntarjoajat kuten Elisa itse.
  • Julkishallinto, kuten ministeriöt, kunnat ja muut julkiset organisaatiot.Myös yritykset, joissa on yli 250 työntekijää kuuluvat NIS2:n piiriin. Lisäksi yritykset, joissa on yli 50 työntekijää, ja joiden vuotuinen liikevaihto tai vuositase on yli 10 miljoonaa euroa, sovelletaan NIS2-direktiiviä. Mikäli yritys tarjoaa kriittistä palvelua, voidaan yritys velvoittaa täyttämään NIS2:n vaatimukset.

Miten olla yhteensopiva direktiivin kanssa?

NIS2-direktiivin keskeisimpiä vaatimuksia eri yrityksille ja organisaatioille ovat esimerkkeinä seuraavat asiat:

Tietoturvapolitiikka sekä tietoturvan suunnittelu

Tietoturvapolitiikassa tulee kuvata muun muassa yrityksen tai organisaation sitoutuminen tietoturvaan, vastuut ja roolit, riskienhallintaprosessit sekä tietoturvatavoitteet.

Riskienhallinta sekä haavoittuvuuksien hallinta

Tietoturvauhat sekä erilaiset haavoittuvuudet arvioidaan sekä toteutetaan asianmukaiset riskienhallintatoimenpiteet. Tämä kattaa myös haavoittuvuuksien hallintaprosessin.

Liiketoiminnan jatkuvuuden hallinta

Jatkuvuuden hallinnan osalta on huolehdittava, että yritys tai organisaatio pystyy toimimaan ja palautumaan tietoturvatapahtumien jälkeen. Yrityksellä pitää olla olemassa liiketoiminnan jatkuvuuden suunnitelma, joka sisältää myös toimenpiteet toiminnan palautumiseen osalta.

Tietoturvan valvonta

Tietoturvan valvonnan osalta organisaatiolla pitää olla tietoturvan valvontaprosessit ja -järjestelmät, joiden avulla voidaan havaita, estää ja torjua tietoturvapoikkeamia, häiriöitä sekä erilaisia uhkia.

Ilmoitusvelvollisuus

NIS2-direktiivi edellyttää organisaatiolta ilmoitusvelvollisuutta merkittävistä tietoturvahäiriöistä. Tätä varten pitää olla selkeä prosessi ja mekanismit, joiden avulla voidaan ilmoittaa häiriöistä asianmukaisille viranomaisille ja tarvittaessa myös yrityksen asiakkaille.

Toimittajien valvonta

Yritysten on varmistettava, että alihankkijat noudattavat NIS2-direktiiviä ja toteuttavat tarvittavat tietoturvatoimenpiteet.

Koulutus ja tietoisuuden lisääminen

Koulutuksella lisätään organisaation tietoisuutta tietoturvauhkista, parhaista käytännöistä ja oikeista toimintatavoista. Koulutus ja tietoisuuden lisääminen auttavat henkilöstöä ymmärtämään tietoturvan roolia ja edistämään turvallista toimintaympäristöä.

Auditointi sekä tarkastukset

Ulkopuolisen tahon tekemä tarkastus tai auditointi on tehokas tapa varmistua, että NIS2-direktiviin vaatimuksia noudatetaan.

Mitä sanktioita on NIS2-direktiivin osalta?

Mikäli vaatimuksia ei noudateta, NIS2-direktiivi mahdollistaa sanktiot, joka on enintään 10 miljoonaa euroa tai enintään 2 % yrityksen maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta riippuen siitä, kumpi näistä summista on suurempi. Lisäksi ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.

Miten Elisa voi auttaa NIS2-direktiivin soveltamisessa?

Elisa tarjoaa muun muassa NIS2-yhteensopivuusanalyysia, joka auttaa yrityksiä ja organisaatioita arvioimaan nykytilaansa ja kehittämään tietoturvanhallintamallia kohti NIS2-soveltuvuutta.

Elisan kattavilla IT-, verkko– ja kyberturvapalveluilla pystyt täyttämään direktiivin vaatimukset.

Yhteensopivuusanalyysi kattaa muun muassa direktiivin vaatimusten ja asiakkaan ydinprosessien analyysin, henkilöhaastatteluita, tietoturvan hallintamallin läpikäynnin, nykyisten prosessien ja ohjeistuksien toimivuuden varmistamisen sekä toimenpide-ehdotukset.

Yhteensopivuusanalyysi on hyödyllinen yrityksille ja organisaatioille, jotka ovat direktiivin soveltamisalaan kuuluvia, haluavat varmistaa tietoturvansa NIS2-direktiivin vaatimusten mukaisesti tai kehittää tietoturvanhallintamalliaan tehokkaammaksi.


Mika Muurinen, Senior Security Advisor

Senior Security Advisor Mika Muurinen työskentelee Elisan tietoturvatiimissä, jossa hänen alueenaan on asiakkaiden hallinnollinen tietoturva sekä tietoturvaan liittyvät lakisääteiset vaatimukset. Mika on innostunut tietoturvasta ja haluaa auttaa yrityksiä ja organisaatioita parantamaan tätä. Mikalla on tietoturvahallintamallin ISO 27001 Lead Implementer- ja Lead Auditor -sertifikaatit hallinnollisen tietoturvan saralta.

Julkaistu 18.9.2023 Elisa Oyj:n blogissa