EU-NIS2-direktiivi

18 - 10 - 2023 - Näkemyksiä

NIS2-direktiivi: näitä organisaatioita uusi säädös koskee

Kyberturvallisuusdirektiivi eli NIS2-direktiivi ja sen täytäntöönpanemiseksi säädettävä uusi kansallinen laki kyberturvallisuuden riskienhallinnasta luo suurelle määrälle organisaatioita uusia velvoitteita, joiden mukaisesti niiden tulee varautua kyberuhkiin. NIS2-direktiivi määrittää Euroopan unionin laajuisesti organisaatiolle kyberturvallisuusriskien hallintatoimenpiteet, raportointivelvoitteet ja valvontatoimenpiteet, mutta mitä organisaatioita nämä velvoitteet käytännössä koskevat?  

KyberkonsultointiTietoturva TietosuojaVaatimustenmukaisuus

NIS2-direktiivi korvaa aiemman NIS1-direktiivin ja sitä sovelletaan aikaisempaa laajempaan joukkoon organisaatioita kattaen yksityisen sekä julkisen sektorin toimijoita. Soveltamisalaa on yhtenäistetty laatimalla selkeät koko- ja toimialakriteerit, jotka määrittävät automaattisesti soveltamisalaan kuuluvat organisaatiot. Suomessa NIS2-direktiivin velvoitteet implementoidaan lakiin kyberturvallisuuden riskienhallinnasta (ns. NIS2-yleislaki), jota aletaan soveltaa lokakuussa 2024. Julkishallinnon osalta velvoitteet pannaan täytäntöön tiedonhallintalaissa.

NIS2-direktiivi jättää tietyiltä osin liikkumavaraa jäsenvaltioille säätää soveltamisalasta myös kansallisesti ja lopullinen varmuus kansallisen lainsäädännön sisällöstä saadaan vasta kyberturvallisuuden riskienhallintalain valmistuessa. Organisaatioiden tulisi jo kuitenkin suunnitella toimenpiteitä velvoitteiden täyttämiseksi, koska lain soveltaminen alkaa jo ensi vuonna, ja toimenpiteiden täytäntöönpano vie aikaa.

Seuraavaksi käsittelemme sekä NIS2-direktiivin että kansallisen lainsäädännön soveltamisalan lähtökohdat ja paneudumme eräisiin siihen liittyviin yleisiin kysymyksiin. On kuitenkin hyvä huomata, että laki kyberturvallisuuden riskienhallinnasta sekä tiedonhallintalakiin tehtävät muutokset ovat vielä ehdotuksia, eikä niiden lopullista tarkkaa sisältöä vielä näin ollen tiedetä. Jos haluat lukea uusista velvoitteista yleisesti, vieraile myös Instan NIS2-sivulla.

Soveltamisalan lähtökohdat

NIS2-direktiivin soveltumiseen vaikuttaa ensisijaisesti toimiala, jolla organisaatio toimii, sekä organisaation koko. NIS2-direktiivissä toimialat on luokiteltu erittäin kriittisiin ja muihin kriittisiin toimialoihin. Kansallisen lainsäädännön toimialaluokittelu vastaa NIS2-direktiivin luokittelua. Kriittiset toimialat on luokiteltu seuraavasti:

Erittäin kriittiset toimialat

Muut kriittiset toimialat

Energia, liikenne, pankkitoiminta, finanssimarkkinat, terveys, juoma- ja jätevesihuolto, digitaalinen infrastruktuuri, TVT-palvelujen hallinta, julkishallinto, avaruus

Posti- ja kuriiripalvelut, jätehuolto, kemikaalit, elintarvikkeet, valmistus, digitaalisen palvelun tarjoajat, tutkimustoiminta

Lähtökohtana on, että näillä toimialoilla toimivat vähintään keskisuuret organisaatiot kuuluvat suoraan soveltamisalaan. Keskisuurena organisaationa pidetään sellaista organisaatiota, jossa työskentelee vähintään 50 henkilöä taikka sen taseen loppusumma ja liikevaihto on vähintään 10 miljoonaa euroa.

Julkishallinnon osalta soveltamisalaan kuulumista tullaan tarkentamaan tiedonhallintalaissa. NIS2-direktiivin velvoitteet on ehdotettu koskevan koosta riippumatta valtion virastoja ja laitoksia, valtion liikelaitoksia, itsenäisiä julkisoikeudellisia laitoksia sekä hyvinvointialueita, hyvinvointiyhtymiä ja Helsingin kaupunkia niiden hoitaessa hyvinvointialueiden lakisääteisiä tehtäviä. On tärkeää huomata, että julkisomisteinen toimija, joka harjoittaa toimintaa muulla kriittisellä toimialalla, kuten vesi- tai jätehuolto taikka terveydenhuolto, katsotaan kuuluvaksi tämän toiminnan osalta kyseiseen toimialaan eikä julkishallinnon toimialaan.

Myös pien- ja mikroyritykset voivat kuulua soveltamisalan piiriin eräissä tilanteissa. Ensinnäkin kyberturvallisuuden riskienhallintalain mukaan organisaatio kuuluu soveltamisalaan koosta riippumatta, jos se on yleisten sähköisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja, luottamuspalvelun tarjoaja, aluetunnusrekisteri tai DNS-palveluntarjoaja taikka CER-direktiivin nojalla määritelty kriittinen toimija. Toisekseen kriittisiin toimialoihin kuuluvat pien- ja mikroyritykset voivat kuulua kyberturvallisuuden riskienhallintalain soveltamisalaan myös silloin, jos valtioneuvoston asetuksella on näin säädetty.

Keskeiset ja tärkeät toimijat

Toimialojen lisäksi organisaatiot jaetaan kahteen luokkaan. Organisaatio luetaan keskeiseksi toimijaksi, jos se toimii erittäin kriittisellä toimialalla ja on kooltaan suuri (vähintään 250 työntekijää taikka liikevaihto yli 50 miljoonaa euroa ja taseen loppusumma yli 43 miljoonaa euroa). Muut soveltamisalaan kuuluvat toimijat ovat lähtökohtaisesti tärkeitä toimijoita. Julkishallinnon osalta toimijat ovat keskeisiä toimijoita, lukuun ottamatta hyvinvointialueita ja hyvinvointiyhtymiä sekä Helsingin kaupunkia (siltä osin kuin se hoitaa hyvinvointialueen järjestämisvastuulle säädettyjä tehtäviä), jotka ovat tärkeitä toimijoita.

Toimijaluokalla on erityisesti merkitystä sanktioiden ja valvonnan osalta. Keskeisille toimijoille voidaan määrätä korkeampia hallinnollisia sanktioita kuin tärkeille toimijoille ja niihin voidaan kohdistaa jälkikäteisvalvonnan lisäksi myös ennakkovalvontaa. Julkishallinnon osalta Suomessa käytetään NIS2-direktiivin mukaista liikkumavaraa eikä julkishallinnon toimijoille tulla määräämään hallinnollisia sanktioita.

Soveltamisalan määrittämiseen liittyviä yleisiä kysymyksiä

Insta haastatteli soveltamisalaan kuuluvia organisaatioita osana liikenne- ja viestintäministeriölle laadittua selvitystä NIS2-direktiivin riskienhallintavelvoitteiden taloudellisista vaikutuksista. Käsittelemme seuraavaksi eräitä usein esiin nousseita kysymyksiä liittyen NIS2-direktiivin soveltamisalaan.

Jos toimija harjoittaa toimintaa useammassa kuin yhdessä EU:n jäsenvaltiossa, se kuuluu NIS2-direktiivin mukaan näiden jäsenvaltioiden erilliseen ja rinnakkaiseen lainkäyttövaltaan. Tämä tarkoittaa käytännössä sitä, että näiden jäsenvaltioiden viranomaiset valvovat kyseistä toimijaa itsenäisesti sekä yhteistyössä muiden viranomaisten kanssa. Organisaatiolle ei voida kuitenkaan määrätä toimenpiteitä tai seuraamuksia samasta rikkomuksesta useammin kuin kerran. Laissa kyberturvallisuuden riskienhallinnasta tarkennetaan lisäksi, että sitä sovelletaan niihin organisaatioihin, jotka ovat sijoittuneita Suomeen. On siis hyvä huomata, että muut jäsenvaltiot voivat säätää kansallisesti suomalaisen lainsäädännön velvoitteita tiukemmista velvoitteista. Näin ollen, jos organisaatio on sijoittunut myös muuhun EU-maahan, ei Suomen kansallisen lainsäädännön noudattaminen automaattisesti tarkoita velvoitteiden noudattamista kaikissa jäsenvaltioissa.

Toinen usein esiin noussut kysymys liittyy kompleksisiin organisaatiorakenteisiin ja toimintaan useammalla toimialalla. Lakiehdotuksessa kyberturvallisuuden riskienhallinnasta tarkennetaan, että mikäli organisaatio toimii usealla eri toimialalla ja vain osa sen toiminnasta on laissa määriteltyä kriittistä toimintaa, kokorajoitusta arvioidaan toimijan kokonaistoiminnan perusteella. Toisin sanoen liikevaihtoa, tasetta ja henkilöstömäärää arvioidaan koko toimijan osalta ja arviointi tehdään toimijakohtaisesti.

Myös toimialakohtaisen lainsäädännön yhteensovittaminen NIS2-direktiivin vaatimusten kanssa on aiheuttanut kysymyksiä. Jos toimialaa säädellään toimialakohtaisella säädöksellä, jossa vaaditaan organisaatioita ottamaan vaikutukseltaan vastaavat toimenpiteet käyttöön, sovelletaan kyseisiin toimijoihin toimialakohtaisia velvoitteita NIS2-velvoitteiden sijaan. Tällainen tilanne on esimerkiksi finanssialalla, jossa alakohtaisena säädöksenä on annettu DORA-asetus. Lisäksi komissio voi antaa alakohtaisia täytäntöönpanosäädöksiä, joilla täydennetään NIS2-direktiivin kyberturvallisuusriskien hallintatoimenpiteitä ja raportointivelvoitteita alakohtaisesti. Toimialasta riippuen organisaatiolle voi siis myös tulla yleisiä säädöksiä tiukempia tai tarkempia velvollisuuksia alakohtaisesta sääntelystä.

Vaikka kansallinen lainsäädäntö voi vielä joltain osin muuttua, on soveltamisalaan kuuluvien toimijoiden aloitettava siihen valmistautuminen viimeistään nyt, koska uusi kansallinen säädäntö astuu voimaan jo lokakuussa 2024. Lue täältä, kuinka Insta voi olla organisaationne tukena velvoitteiden täyttämisessä.

Lue lisää NIS2-direktiivistä

Saku Kiviharju
Kirjoittaja

Saku Kiviharju

Privacy & Cyber Compliance Consultant Insta Advance etunimi.sukunimi (at) insta.fi

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.