Euroopan unionin NIS2-direktiivin siirtymäaika on parhaillaan menossa, tavoitteena on parantaa tietoturvallisuutta. Direktiivin soveltaminen on tulossa myös Suomen lakiin.
NIS2 on Euroopan unionin direktiivi, jonka tavoitteena on parantaa tietoturvallisuutta. Direktiivin tarkoituksena on varmistaa tietoturvan taso Euroopan unionissa. Direktiivissä määritellään jäsenvaltioiden velvollisuudet ja vastuualueet tietoturvan hallinnassa. Euroopan unionin jäsenvaltioiden tulee nimetä viranomaiset, jotka vastaavat NIS2-direktiivin täytäntöönpanosta.
Direktiiviä sovelletaan eri yrityksiin sekä organisaatioihin, mukaan lukien keskeisten palvelujen tarjoajat ja digitaalisten palvelujen tarjoajat. Se sisältää säännöksiä tietoturvan hallintajärjestelmistä, erilaisista turvallisuustoimenpiteistä, ilmoitusvelvollisuudesta sekä yhteistyöstä. Se edellyttää yrityksiltä tai organisaatioilta muun muassa riskienhallintaa, tietoturvahäiriöiden ilmoittamista ja yhteistyötä kansallisten viranomaisten kanssa
Direktiivin tavoitteena on lisätä näiden organisaatioiden tietoturvaa, osoittamalla vaatimuksia tietoturvaan ja raportoimaan tietoturvaloukkauksista asianomaisille viranomaisille. Direktiivissä määrätään myös seuraamuksia noudattamatta jättämisestä, mukaan lukien sakot.
Keitä direktiivi koskee?
NIS2-direktiivi koskee erilaisia yrityksiä sekä organisaatioita, jotka toimivat kriittisillä toimialoilla. Näihin kriittisiin toimialoihin kuuluvat muun muassa seuraavat:
- Liikenne, esimerkkeinä lentoliikenne, satamat, rautatiet ja maantiekuljetukset.
- Energia, kuten sähköntuotanto, jakelu sekä varastointi.
- Pankit ja muut rahoituspalvelut.
- Kriittiset palveluntarjoajat, kuten terveydenhuolto, vesihuolto ja elintarviketurvallisuus, sekä teleoperaattorit ja IT-palveluntarjoajat kuten Elisa itse.
- Julkishallinto, kuten ministeriöt, kunnat ja muut julkiset organisaatiot.Myös yritykset, joissa on yli 250 työntekijää kuuluvat NIS2:n piiriin. Lisäksi yritykset, joissa on yli 50 työntekijää, ja joiden vuotuinen liikevaihto tai vuositase on yli 10 miljoonaa euroa, sovelletaan NIS2-direktiiviä. Mikäli yritys tarjoaa kriittistä palvelua, voidaan yritys velvoittaa täyttämään NIS2:n vaatimukset.
Miten olla yhteensopiva direktiivin kanssa?
NIS2-direktiivin keskeisimpiä vaatimuksia eri yrityksille ja organisaatioille ovat esimerkkeinä seuraavat asiat:
Tietoturvapolitiikka sekä tietoturvan suunnittelu
Tietoturvapolitiikassa tulee kuvata muun muassa yrityksen tai organisaation sitoutuminen tietoturvaan, vastuut ja roolit, riskienhallintaprosessit sekä tietoturvatavoitteet.
Riskienhallinta sekä haavoittuvuuksien hallinta
Tietoturvauhat sekä erilaiset haavoittuvuudet arvioidaan sekä toteutetaan asianmukaiset riskienhallintatoimenpiteet. Tämä kattaa myös haavoittuvuuksien hallintaprosessin.
Liiketoiminnan jatkuvuuden hallinta
Jatkuvuuden hallinnan osalta on huolehdittava, että yritys tai organisaatio pystyy toimimaan ja palautumaan tietoturvatapahtumien jälkeen. Yrityksellä pitää olla olemassa liiketoiminnan jatkuvuuden suunnitelma, joka sisältää myös toimenpiteet toiminnan palautumiseen osalta.
Tietoturvan valvonta
Tietoturvan valvonnan osalta organisaatiolla pitää olla tietoturvan valvontaprosessit ja -järjestelmät, joiden avulla voidaan havaita, estää ja torjua tietoturvapoikkeamia, häiriöitä sekä erilaisia uhkia.
Ilmoitusvelvollisuus
NIS2-direktiivi edellyttää organisaatiolta ilmoitusvelvollisuutta merkittävistä tietoturvahäiriöistä. Tätä varten pitää olla selkeä prosessi ja mekanismit, joiden avulla voidaan ilmoittaa häiriöistä asianmukaisille viranomaisille ja tarvittaessa myös yrityksen asiakkaille.
Toimittajien valvonta
Yritysten on varmistettava, että alihankkijat noudattavat NIS2-direktiiviä ja toteuttavat tarvittavat tietoturvatoimenpiteet.
Koulutus ja tietoisuuden lisääminen
Koulutuksella lisätään organisaation tietoisuutta tietoturvauhkista, parhaista käytännöistä ja oikeista toimintatavoista. Koulutus ja tietoisuuden lisääminen auttavat henkilöstöä ymmärtämään tietoturvan roolia ja edistämään turvallista toimintaympäristöä.
Auditointi sekä tarkastukset
Ulkopuolisen tahon tekemä tarkastus tai auditointi on tehokas tapa varmistua, että NIS2-direktiviin vaatimuksia noudatetaan.
Mitä sanktioita on NIS2-direktiivin osalta?
Mikäli vaatimuksia ei noudateta, NIS2-direktiivi mahdollistaa sanktiot, joka on enintään 10 miljoonaa euroa tai enintään 2 % yrityksen maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta riippuen siitä, kumpi näistä summista on suurempi. Lisäksi ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.
Miten Elisa voi auttaa NIS2-direktiivin soveltamisessa?
Elisa tarjoaa muun muassa NIS2-yhteensopivuusanalyysia, joka auttaa yrityksiä ja organisaatioita arvioimaan nykytilaansa ja kehittämään tietoturvanhallintamallia kohti NIS2-soveltuvuutta.
Elisan kattavilla IT-, verkko– ja kyberturvapalveluilla pystyt täyttämään direktiivin vaatimukset.
Yhteensopivuusanalyysi kattaa muun muassa direktiivin vaatimusten ja asiakkaan ydinprosessien analyysin, henkilöhaastatteluita, tietoturvan hallintamallin läpikäynnin, nykyisten prosessien ja ohjeistuksien toimivuuden varmistamisen sekä toimenpide-ehdotukset.
Yhteensopivuusanalyysi on hyödyllinen yrityksille ja organisaatioille, jotka ovat direktiivin soveltamisalaan kuuluvia, haluavat varmistaa tietoturvansa NIS2-direktiivin vaatimusten mukaisesti tai kehittää tietoturvanhallintamalliaan tehokkaammaksi.
Mika Muurinen, Senior Security Advisor
Julkaistu 18.9.2023 Elisa Oyj:n blogissa
- Maksuton webinaari: NIS2-direktiivi 30 minuutissa
- Tutustu valmennukseen: NIS2- direktiivin koulutus
- Katso Elisan valmennukset