NIS2-direktiivi on jatkoa EU:n alkuperäiselle NIS-direktiiville (Network and Information Security Directive), joka hyväksyttiin vuonna 2016. Uudella direktiivillä pyritään entisestään parantamaan tietoverkkojen ja tietojärjestelmien turvallisuutta Euroopan unionin alueella.

Tavoitteena on varmistaa, että jäsenmaat ja yritykset ovat paremmin valmistautuneita ja suojattuja erityisesti niiltä kyberhyökkäyksiltä, joita kohdistetaan kriittisiin infrastruktuureihin, kuten energia-, terveydenhuolto- ja finanssialaan.

NIS2-direktiivi laajentaa soveltamisalansa koskemaan entistä useampia sektoreita ja yrityksiä. Tämä tarkoittaa, että aiemmin direktiivin ulkopuolelle jääneet yritykset saattavat nyt olla sen piirissä. 

CTO Sami Kuusisto

Keskeisiä sektoreita ovat:

Energia, kuljetus, pankkitoiminta, rahoitusmarkkinoiden infrastruktuuri, terveysala, juomavesi, jätevesi, digitaalinen infrastruktuuri, IT-palveluiden hallinta, julkishallinto sekä avaruus

Tärkeitä sektoreita puolestaan:

Posti- ja kuriiripalvelut, jätehuolto, kemikaalit, ruoka, lääkinnällisten laitteiden valmistus, digitaaliset palveluntarjoajat sekä tutkimusorganisaatiot.

NIS2 voi koskea myös sinua 

Direktiivin kohteena olevat organisaatiot on pääpiirteissään kuvattu Kyberturvallisuuskeskuksen laatimassa taulukossa täällä

NIS2-direktiiviä aletaan soveltaa 18.10.2024 ja koskee lähtökohtaisesti organisaatioita, joissa on yli 250 henkilöä.

Tilaaja on kuitenkin vastuussa myös alihankintaketjunsa tietoturvan aiheuttamista riskeistä, joten jos pienempi yritys tuottaa palveluita tai tekee muuta alihankintaa isommalle toimijalle, yrittäjän on organisaation koosta riippumatta itse varmistettava se, miltä osin oma yritys voisi kuulua direktiivin soveltamisalaan.

Keskeisillä sektoreilla toimivien organisaatioiden on puolestaan tunnettava omat toimitusketjunsa, tunnistettava niiden kriittiset osat ja voitava varmistaa toimijoiden tietoturvan taso.

 Kriittisiksi määritellyt yksiköt kuuluvat aina direktiivin soveltamisalaan koosta tai liikevaihdosta riippumatta.

NIS ja NIS2; mikä muuttuu?

NIS-direktiiviin verrattuna muutokset koskevat pääsääntöisesti kyberturvallisuusriskien hallintatoimenpiteitä sekä vaaratilanteista ilmoittamista koskevia velvoitteita. Lisäksi yrityksen johto voidaan jatkossa asettaa henkilökohtaisesti vastuuseen laiminlyönneistä.

Yritysten on tehtävä toimia kyberturvallisuuden tilan parantamiseksi, toisin sanoen laadittava riskinarviointi, otettava käyttöön monivaiheinen todennus, ja tehtävä suunnitelmat miten mahdollisiin poikkeustilanteisiin reagoidaan ja kuinka toimitusketju turvataan.

Toimintamalliin tulee sisältyä: 

  • Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja toimenpiteiden vaikuttavuusarvio
  • Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet, niiden hankinnan, kehittämisen ja ylläpidon turvallisuus sekä suunnitelma, miten käsitellään haavoittuvuuksia
  • Toimitusketjun ja palveluntarjoajien riskiarvio
  • Turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
  • Henkilöstön koulutus; vastuullasi on se, että työntekijät ymmärtävät tietoturvan merkityksen ja noudattavat hyviä tietoturvakäytäntöjä
  • Pääsynhallinnan ja todentamisen menettelyt; esimerkiksi monivaiheisen tunnistautumisen käyttöönotto
  • Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön
  • Perustason käytännöt liittyen tietoliikenteen, laitteistojen, ohjelmistojen, aineistojen ja fyysisen ympäristön turvallisuuteen
  • Miten poikkeamia havainnoidaan ja käsitellään, suunnitelma toimintavarmuuden palauttamiseksi ja ylläpitämiseksi; varmuuskopiointi, palautussuunnitelma, varaviestintäjärjestelmien käyttö jne.
  • Lisäksi olisi hyvä laatia kriisinhallinnan ja kriisiviestinnän suunnitelmat.

NIS2-direktiivin käyttöönoton jälkeen sen noudattamista tullaan valvomaan tiukemmin ja laiminlyöntien seuraukset ovat vakavat.

Yrittäjän on tärkeää ymmärtää, että direktiivin noudattaminen ei ole pelkkä muodollisuus, vaan se vaatii jatkuvaa panostusta tietoturvan parantamiseen ja ylläpitoon.

Tietoturvariskejä aiheutuu esimerkiksi

  • Järjestelmistä, joihin voidaan hyökätä ja tilejä kaapata
  • Varkauden tai ilkivallan seurauksena
  • Häiriöistä toimitusketjussa, jos alihankkijaa kohtaa ongelma tai joku palvelu muuttuu
  • Henkilöstön pahansuopuuden, huolimattomuuden, laiminlyöntien ja inhimillisten virheiden vuoksi
  • Yleisiä heikkouksia ovat myös vaikkapa varmuuskopioihin, salasanakäytäntöihin ja tietoturvapäivityksiin liittyvät puutteet. 

Ilmoitusvelvollisuus

NIS2-direktiivin soveltamisalaan kuuluvan yrityksen on viipymättä ilmoitettava sen palveluun kohdistuvasta merkittävästä poikkeamasta – esimerkiksi verkkohyökkäyksestä – valvovalle viranomaiselle. Ilmoitusvelvollisuus koskee tilanteita, jotka voivat aiheuttaa tai ovat aiheuttaneet yrityksen palveluihin vakavan toimintakatkoksen tai taloudellisia tappioita, tai voivat aiheuttaa muille henkilöille tai toimijoille huomattavaa vahinkoa.

 

Listan valvovista viranomaisista vastuusektoreineen löydät täältä 

Ensimmäinen ilmoitus tulee tehdä vuorokauden sisällä siitä, kun poikkeavuus havaitaan. Seuraava 3 vrk kuluessa ja loppuraportti kuukauden sisällä tapahtuman havaitsemisesta. 

QFIX M365 Complete ja NIS2

Direktiivin vaatimukset on luonnollisesti huomioitu tarjoamissamme palvelupaketeissa, joihin sisältyy tasosta riippumatta käyttäjien monivaiheinen tunnistus, automaattinen varmuuskopiointi yrityksesi datalle, välitön tiedon palautus, GDPR -yhteensopivuus, ja turva käyttäjän virheitä sekä haittaohjelmia vastaan. Pilvipalveluina ne eivät myöskään ole fyysisessä vaarassa.

Secure+ -tasosta ylöspäin tarjoamme markkinoiden edistyneimmän laitteiden ja tietojen suojauksen, suojan tietojen kalastelulta ja kiristysohjelmilta, sekä tietokoneen uhkien ja haavoittuvuuksien jatkuvan monitoroinnin, jäljityksen ja hallinnan.

Ylimmällä tasolla palvelut kattavat myös mahdollisuuden mm. laitteen sulkemiseen varkaustapauksissa.

Lue lisää M365 Complete -palveluistamme täältä