Artikkeli

NIS2-direktiivi – Tavoitteena kyberturvallisempi tulevaisuus

Organisaatioiden valmistautuminen NIS2-direktiiviin

EU:n verkko- ja tietoturvadirektiivin eli NIS2:n tavoitteena on parantaa jäsenvaltioiden kyberturvallisuutta yhtenäistämällä kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita tärkeillä ja keskeisillä toimialoilla. NIS2:n soveltamisalaan kuuluvien organisaatioiden olisi hyvä aloittaa regulaatioon noudattamiseen liittyvät valmistelut ajoissa. Organisaation tasosta riippuen osa keskeisten vaatimusten täytäntöönpanosta ja niihin liittyvistä valmisteluista tulee viemään aikaa. EU:n jäsenvaltioiden on hyväksyttävä ja julkaistava tarvittavat toimenpiteet NIS2-direktiivin noudattamiseksi 17. lokakuuta 2024 mennessä.

Tutki sisältöä

Mikä on NIS2-direktiivi?

EU:n verkko- ja tietoturvadirektiivin (The Network and Information Security 2, NIS2) tavoitteena on saavuttaa korkeampi kyberturvallisuuden taso yhtenäistämällä jäsenvaltioiden kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita tärkeillä ja keskeisillä toimialoilla. Tämän lisäksi direktiivin avulla pyritään yhtenäistämään eri toimijoiden kyberturvallisuuden käytänteet. NIS2:n soveltamisalaan kuuluvien organisaatioiden olisi hyvä aloittaa regulaation noudattamiseen liittyvät valmistelut ajoissa, sillä joidenkin keskeisten vaatimusten täytäntöönpano tulee viemään aikaa.

NIS2 on aiemman Network and Information Security (NIS) -direktiivin seuraaja, ja sisältää tiukempia vaatimuksia sekä kohdistuu laajempaan toimialajoukkoon kuin edeltäjänsä. NIS2-direktiivi sisältää myös joukon pakollisia kyberturvallisuusriskien hallintatoimenpiteitä ja vaatimuksen tietoturvapoikkeaman ilmoittamisesta. Direktiivi tuli voimaan tammikuussa 2023 ja jäsenvaltioiden tulee saattaa se osaksi kansallista lainsäädäntöään lokakuuhun 2024 mennessä. Suomessa lainsäädäntöhankkeen täytäntöönpanoa koskevien säännösten soveltamisen aloitusajankohta on 18.10.2024.

NIS2-direktiivin avulla pyritään korjaamaan aiempien sääntöjen puutteet, mukauttamaan sitä nykyisiin tarpeisiin ja tekemään siitä tulevaisuuden vaatimukset huomioon ottava. Tätä varten direktiivillä laajennetaan aiempien sääntöjen soveltamisalaa tuomalla sääntelyn piiriin uusia aloja perustuen niiden digitalisaatioasteeseen, keskinäisiin kytköksiin sekä elintärkeyteen talouden ja yhteiskunnan kannalta. Toisin sanoen, käytössä on selkeä kokorajasääntö, jonka kautta kaikki valituilla aloilla toimivat keskisuuret ja suuret yritykset sisällytetään soveltamisalaan.

Keihin NIS2-direktiiviä sovelletaan?

Direktiivin soveltaminen kohdistuu oikeushenkilöön tai luonnolliseen henkilöön, jonka harjoittama toiminta tai toimiala katsotaan kriittiseksi ja toiminta täyttää tai ylittää keskisuuren toimijan määritelmän. NIS2-direktiiviä sovelletaan myös niihin toimijoihin, jotka ovat CER-direktiivin (Critical Entities Resilience Directive) nojalla määritelty kriittisiksi toimijoiksi. Pääsääntöisesti keskeisiksi toimijoiksi katsotaan sellaiset toimijat, joiden palveluksessa on vähintään 250 työntekijää tai vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa. Vastaavasti tärkeiksi toimijoiksi katsotaan alla olevan listauksen mukaisilla aloilla olevat keskisuuret toimijat.

Myös poikkeustapaukset ovat mahdollisia, jos toimija koostaan riippumatta on yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestipalvelujen tarjoaja, luottamuspalvelun tarjoaja, aluetunnusrekisteri tai DNS-palveluntarjoaja. Tällöin koosta riippumaton palveluntarjoaja voidaan määritellä kriittiseksi ja näin ollen NIS2-direktiivin soveltamisen pariin kuuluvaksi.

NIS-direktiiviin piiriin kuuluvat toimijat (tarkemmat sektorit listattu Kyberturvallisuuskeskuksen sivuilla):

  • Koordinointi
  • Energia
  • Terveydenhuolto
  • Finanssiala
  • Finanssialan infrastruktuuri
  • Liikenne
  • Vesihuolto
  • Digi-infrastruktuuri
  • Digitaaliset palvelut

NIS2-direktiivin keskeiset velvoitteet ja niiden valvonta

Direktiivi asettaa kansallisille viranomaisille tiukemmat valtuudet valvontatoimenpiteille. Tämän lisäksi direktiivi tiukentaa täytäntöönpanovaatimuksia sekä pyrkii yhdenmukaistamaan seuraamusmenettelyitä kaikissa jäsenvaltioissa. Direktiivin keskeiset velvoitteet koskevat riskienhallinnan tavoitteellisuutta ja ajantasaisuutta sekä raportointivelvoitetta merkittävistä poikkeamista. Uudessa direktiivissä säädetään myös aiempaa tarkemmin poikkeamien ilmoitusmenettelystä, raporttien sisällöstä, määräajoista sekä toimijoihin ja toimitusketjuihin kohdistuvista turvallisuusvaatimuksista.

  • Riskinomistajuus: Osana NIS2:ta organisaation johdolle on annettu keskeinen ja aktiivinen rooli riskienhallintavelvoitteiden noudattamisen varmistamisessa. NIS2:n mukaan hallintoelinten on hyväksyttävä organisaation toteuttamat kyberturvallisuusriskien hallintatoimenpiteet sekä valvottava niiden täytäntöönpanoa. Direktiivissä myös todetaan, että keskeisten toimijoiden hallitus (engl. board of essential entities) voidaan saattaa henkilökohtaiseen vastuuseen, jos se rikkoo velvollisuuttaan varmistaa direktiivin noudattaminen. Organisaation johdon on myös osallistuttava koulutukseen riittävien tietojen ja taitojen saamiseksi tehtävien hoitamista varten.
  • Turvallisuusvaatimukset: NIS2-direktiivin 21 artiklassa luetellaan turvallisuusriskien hallintatoimenpiteet, jotka toimijoiden tulee toteuttaa verkko- ja tietojärjestelmien suojaamiseksi. Näihin toimenpiteisiin kuuluvat muun muassa poikkeamatilanteiden käsittely, toiminnan jatkuvuus ja kriisinhallinta, turvalliset tietoverkkojen peruskäytännöt sekä salauskäytännöt ja -menettelyt.
  • Poikkeamatilanteista raportoiminen: Merkittävän poikkeamatilanteen sattuessa keskeisten ja tärkeiden toimijoiden on annettava hallituksen tietoturvatyöryhmälle (CSIRT) tai toimivaltaiselle viranomaiselle ennakkovaroitus 24 tunnin kuluessa ja poikkeamatilanneilmoitus 72 tunnin kuluessa. Lisäksi organisaation asiakkaille on ilmoitettava häiriötilanteista, jotka todennäköisesti vaikuttavat haitallisesti kyseisen palvelun tarjoamiseen. Merkittäviksi häiriötilanteiksi määritellään häiriötilanteet, jotka aiheuttavat organisaatiolle vakavia toimintahäiriöitä tai taloudellisia tappioita sekä huomattavaa aineellista tai aineetonta vahinkoa, joka vaikuttaa myös muihin henkilöihin tai yhteisöihin.
  • Toimitusketjun turvallisuus: NIS2-direktiivin pariin kuuluvien organisaatioiden on kiinnitettävä erityistä huomioita toimitusketjujen turvallisuuteen. Osana tätä toimenpidettä organisaatioiden olisi käsiteltävä turvallisuuteen liittyviä näkökohtia, jotka liittyvät sen suhteisiin tavarantoimittajien tai palveluntarjoajien kanssa. Tähän sisältyy tehtävänä tunnistaa kuhunkin toimittajaan ja palveluntarjoajaan liittyvät riskit. Toinen tarkasteltava näkökohta on tuotteiden laatu ja kyberturvallisuuskäytännöt, kuten palveluiden turvallinen kehittäminen.

NIS2-direktiivi asettaa periaatteet viranomaisten suorittamalle valvonnalle. Keskeisiin ja tärkeisiin toimijoihin kohdistetaan erilaisia valvontamenetelmiä ja valvonta suoritetaan ennakoivasti, jolloin toimijoihin voi kohdistua esimerkiksi paikan päällä tehtävät tarkastukset, toimipaikan ulkopuolinen valvonta sekä turvallisuustarkastukset. Tärkeiden toimijoiden kannalta vastaavat toimenpiteet suoritetaan vain silloin, jos on todisteita tai viitteitä siitä, että tärkeä toimija ei noudata direktiiviä. Täytäntöönpanotoimenpiteisiin kuuluvat varoitukset, sitovat ohjeet ja hallinnolliset sakot, jotka voivat olla enintään 10 miljoonaa euroa tai 2 % organisaation vuotuisesta kokonaisliikevaihdosta keskeisten toimijoiden osalta. Tärkeiden toimijoiden osalta hallinnolliset sakot voivat olla enintään 7 miljoonaa euroa tai 1.4 % organisaation vuotuisesta kokonaisliikevaihdosta. Keskeisten yksiköiden hallintoelimet voivat myös joutua henkilökohtaiseen vastuuseen ja väliaikaiseen kieltoon hoitaa johtotehtäviä.

Askeleet NIS2-direktiivin vaatimusten täyttämiseksi

On tärkeää tunnistaa, kuuluuko organisaatiosi liiketoiminta-alueita NIS2-direktiivin soveltamisaloihin ja aloittaa valmistelut ajoissa, sillä joidenkin edellä mainittujen keskeisten vaatimusten täytäntöönpano vie aikaa. Deloitte kehottaakin organisaatioita aloittamaan valmistelut pikimmiten, eikä jäädä odottamaan kansallisen lainsäädännön valmistumista.

Deloitte voi auttaa organisaatiotasi käsittelemään NIS2:ta kokonaisvaltaisesti. Lähestymistapamme on hyödyntää organisaatiossasi jo olemassa olevia valmiuksia perustana NIS2-vaatimustenmukaisuuden saavuttamiselle ja ottaa samalla huomioon muut EU:n säädökset, ja auttaa organisaatiotasi ottamaan ensimmäiset askeleet direktiivin vaatimusten täyttämiseksi. Lähestymistapamme sisältää esimerkiksi seuraavia asioita:

  • NIS2 vaikutustenarviointi – Autamme arvioimaan sääntelyn vaikutuksia tunnistamalla organisaationne osat ja sidosryhmät joihin NIS2 vaikuttaa. Autamme sitouttamaan liiketoimintajohdon ja sidosryhmät kehitystoimenpiteisiin.
  • Lähtötason nykytila-arviointi – Nykytila-arvion avulla saat kattavan yleiskuvan organisaatiosi tärkeimmistä kehityskohdista NIS2 direktiivin kannalta sekä käytännön suositukset puutteiden korjaamiseksi.
  • Kyberturvallisuusvaatimusten täyttämiseksi tarvittavien toimenpiteiden toteuttaminen – Tuemme organisaatiotasi direktiivin kannalta oleellisten valmiuksien määrittelyssä, suunnittelussa ja jalkauttamisessa osaksi organisaation toimintaa: riskienhallinta, poikkeamien käsittely, toiminnan jatkuvuuden hallinta, toimitusketjun turvallisuus sekä muut direktiivin vaatimat riskienhallintatoimenpiteet.

Tutki sisältöä

Oliko tieto hyödyllistä?