Kyberturvallisuusdirektiivi eli NIS2-direktiivi ja sen täytäntöönpanemiseksi säädettävä uusi kansallinen laki kyberturvallisuuden riskienhallinnasta luo suurelle määrälle yrityksiä ja organisaatioita uusia velvoitteita, joiden mukaisesti niiden tulee varautua kyberuhkiin. NIS2:n tavoitteena on nostaa kyberturvallisuuden tasoa Euroopassa ja vähentää kyberrikollisuuden aiheuttamia menetyksiä. Direktiivin vaikutusalan piirissä ovat toimijat, joiden toiminnan katsotaan olevan yhteiskunnan kannalta kriittistä. Toimijoiden tulee noudattaa NIS2:n velvoitteita lokakuusta 2024 eteenpäin.
Keitä uusi NIS2-direktiivi koskee?
Direktiivin soveltamisalaan kuuluvien yritysten määrä kasvaa moninkertaiseksi aikaisempaan NIS1-direktiiviin verrattuna. Samalla toimialat jaetaan kahteen luokaan: erittäin kriittisiin ja muihin kriittisiin toimialoihin. Direktiivin soveltamisala kattaa aikaisempien NIS1-toimialojen, kuten energia, liikenne, terveys ja juomaveden jakelijoiden, lisäksi uusia toimialoja kattaen myös julkisen sektorin toimijoita. Uusina sektoreina direktiivissä ovat esimerkiksi elintarvikesektori ja kemianteollisuus. Lähtökohtana on, että kriittisillä toimialoilla toimivat ja yli 50 työntekijää työllistävät yritykset kuuluvat direktiivin soveltamisalan piiriin.
– NIS2-direktiivi vaikuttaa suuresti toimialoihin, joille on ominaista korkea automaatio- ja digitalisaatioaste, mukaan lukien valmistavassa teollisuudessa käytettävä tuotantoteknologia (OT). Myös elintarviketuotannon, kemiantehtaiden ja tiettyjen kriittisiksi luokiteltujen digitaalisten palvelujen tarjoajien on jatkossa noudatettava NIS2-direktiiviä, teknologiayhtiö Instan kyberturvallisuuskonsultoinnin vetäjä Jyrki Nivala sanoo.
Direktiivin myötä kyberturvallisuusvaatimukset nousevat entistä tärkeämmäksi osaksi sopimusneuvotteluita.
– Direktiivi velvoittaa yrityksiä huolehtimaan oman toimitusketjunsa turvallisuudesta. Tätä kautta direktiivin vaatimukset tulevat vaikuttamaan myös yrityksiin, joita lainsäädäntö ei suoraan koske, Nivala selventää.
Jos yritys harjoittaa liiketoimintaa useammassa kuin yhdessä EU:n jäsenvaltiossa, se kuuluu NIS2-direktiivin mukaan näiden jäsenvaltioiden erillisen ja rinnakkaisen lainsäädännön piiriin.
– On siis hyvä huomata, että muut jäsenvaltiot voivat säätää kansallisesti suomalaisen lainsäädännön velvoitteita tiukemmista velvoitteista. Näin ollen, jos organisaatio on sijoittunut myös muuhun EU-maahan, ei Suomen kansallisen lainsäädännön noudattaminen automaattisesti tarkoita velvoitteiden noudattamista kaikissa jäsenvaltioissa, Nivala kertoo.
Mitä uusi direktiivi velvoittaa?
NIS2 vahvistaa kyberturvallisuusriskien hallintatoimenpiteiden ja raportointivelvoitteiden perustason eri toimialoilla. Kyberturvallisuusasiantuntija Nivalan mukaan tavoitteena on erityisesti edistää ja kehittää riskienhallintakulttuuria. Hän muistuttaa, että riskienhallintatoimenpiteitä on kohdistettava myös organisaation toimittajiin, jotta koko toimitusketjun kyberturvallisuusriskejä voidaan hallita.
– Yritysten tulee ottaa vastuuta myös alihankintaketjunsa kyberturvasta ja sen vaikutuksesta yrityksen toimintaan, jolloin toimintaympäristön kokonaisvaltainen ymmärtäminen on organisaation kyberturvallisuuden kannalta keskeistä. Valtaosa yrityksistä on enemmän tai vähemmän riippuvaisia esimerkiksi ulkoistetuista digitaalisista palveluista, Nivala sanoo.
Mistä aloittaa?
Organisaatiolla tulee olla kattava politiikka ja toimintaohjeet kyberturvallisuusriskien arviointiin ja käsittelyyn. Lisäksi politiikat ja ohjeet on pidettävä ajan tasalla säännöllisten katselmointien avulla.
– Hyvä alku on tarkistaa nykyinen riskienhallintapolitiikka ja verrata sitä NIS2-direktiivin hallintakeinoihin. NIS2-velvoitteiden täyttämisessä alkuun pääsee ketterästi myös Instan NIS2-arviointipalvelun avulla, jossa Insta tuottaa arvion riskienhallintakeinojen nykytilasta ja kehityskohteista priorisoituna, Nivala vihjaa.
1. Kartoita nykytila
Organisaation nykytila sekä valmiudet vastata NIS2-direktiivin velvoitteisiin.Selvitä ainakin seuraavat asiat:
• Täyttääkö johto koulutusvelvollisuudet
• Miten kyberriskejä hallinnoidaan
• Valvooko johto kyberturvallisuusriskien hallintatoimenpiteiden noudattamista
• Onko organisaatiollanne valmiudet vastata raportointivelvoitteeseen sekä ennakko- ja jälkivalvontaan
2. Aloita riskienhallinta
Varmista hallintatoimenpiteiden asianmukainen taso suhteessa riskeihin. Arvioi seuraavat:• Organisaation toiminnan riskitaso• Kyberturvallisuusriskien hallintatoimenpiteiden nykytila suhteessa riskeihin
3. Dokumentoi lopputulokset
Kuvaa nykytila, kehityskohteet sekä tiekartta:
• Kuvaus organisaation nykytilasta NIS2-velvoitteiden täyttämisessä
• Lista kehityskohteista priorisoituna
• Tiekartta lainsäädännön velvoitteiden täyttämiseksi.
Insta on yksi Suomen merkittävimmistä kyberturvapalveluiden toimittajista. Tarjoamme laaja-alaisesti kyberturvapalveluita konsultoinnista kyberhyökkäysten torjuntaan ja verkkoturvasta henkilöiden ja laitteiden turvalliseen digitaaliseen identiteettiin. Palveluihimme ja tuotteisiimme luottavat suuryritykset ja julkisen sektorin organisaatiot niin kotimaassa kuin maailmalla.