Nopeasti kehittyvät tietoturvauhat vaativat myös lainsäädännön kehittämistä. Tähän tarpeeseen luotu uusi lainsäädäntö, NIS2, koskee myös monia sellaisia yrityksiä, jotka eivät arjessa ole tietoturvan kanssa selvästi tekemisissä. Vaatimusten laiminlyönnistä voi saada tuntuvat taloudelliset sanktiot, joten muutokseen valmistautuminen kannattaa aloittaa heti.
Mikä NIS2 on?
NIS2 on EU:n uusi, laajennettu kyberturvallisuusdirektiivi. Se laajentaa jo käytössä olevaa koko EU:n kattavaa tietoturvalainsäädäntöä ja korvaa aiemman NIS1-direktiivin vuodelta 2016. NIS on lyhenne englannin kielen sanoista Network and information security.
Uuden lainsäädännön tarkoitus on modernisoida sekä laajentaa jo olemassa olevaa lainsäädäntökehystä ja pysyä kasvaneen digitalisaation ja jatkuvasti kehittyvien tietoturvauhkien edellä. NIS2 asettaa korkean tason tietoturva vaatimukset kriittisen infrastruktuurin suojaamisesta jäsenvaltioille, näin lisäten tietoturvallisuutta koko EU:n alueella. Laajennus kattaa kaikenlaisen kriittisen infrastruktuurin, ei ainostaan tietoteknillistä infrastruktuuria.
NIS2 on tällä hetkellä Liikenne- ja viestintäministeriön lakivalmistelussa.
Direktiivi asettaa seuraavat vaatimukset koskettamaan keskeisiä ja tärkeitä toimijoita:
-
Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
-
Johdon vastuu
-
Kyberturvallisuuden riskienhallinnan toimintamalli
-
Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi
-
Omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
-
Pääsynhallinnan ja todentamisen menettelyt
-
Poikkeamailmoitukset ja poikkeamista raportointi
-
Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi
-
Perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi
-
Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön
-
Toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt
-
Toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi
-
Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa
-
Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen
-
Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet
Sanktiot
NIS2:n noudattamatta jättäminen voi johtaa sanktioihin, jotka voivat olla keskeisillä toimijoilla jopa 10 miljoonaa euroa tai 2% globaalista liikevaihdosta ja tärkeillä toimijoilla 7 miljoonaa euroa tai 1,4% globaalista liikevaihdosta. Valvova viranomainen voi suorittaa keskeisille toimijoille tarkastuksen NIS2 noudattamisesta, vaikka toimijan ei epäiltäisi jättäneen noudattamatta NIS2-vaatimuksia.
Keihin direktiivi vaikuttaa?
Direktiivin kohteena olevat organisaatiot ovat joko keskeisiä toimijoita tai tärkeitä toimijoita riippuen niiden koosta, toimialasta ja kriittisyydestä. Alla olevasta taulukosta näkee suuntaa antavasti luokittelua keskeisistä ja tärkeistä toimijoista. On tärkeää huomata, että NIS2 saattaa koskettaa näin ollen myös hyvin pieniä organisaatioita, jotka toimivat NIS2-tulkinnan mukaisesti erittäin kriittisellä toimialalla. Tätä varten on hyvä löytää ymmärrys siitä, että täyttääkö oma organisaatio keskeisen tai tärkeän toimijan kriteerit.
Taulukon selitykset
Suuri toimija
Yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa.
Keskisuuri toimija
50–249 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.
Pieni toimija
Alle 50 työntekijää tai vuosiliikevaihto ja taseen loppusumma korkeintaan 10 miljoonaa euroa.
✅ = Keskeinen toimija
✔️ = Tärkeä toimija
❌ = Ei kuulu soveltamisalaan
| Erittäin kriittiset toimialat | Toimijan koko | |||
|---|---|---|---|---|
| Toimiala | Toimialan osa | Suuri | Keskisuuri | Pieni |
| Energia | Sähkö, kaukolämmitys ja -jäähdytys, kaasu, vety, öljy, latauspalvelujen tarjoajat loppukäyttäjille | ✅ | ✔️ | ❌ |
| Liikenne | Ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne | ✅ | ✔️ | ❌ |
| Pankkiala | Luottolaitokset | ✅ | ✔️ | ❌ |
| Finanssimarkkinoiden infrastruktuurit | Kauppapaikkojen ylläpitäjät ja keskusvastapuolet | ✅ | ✔️ | ❌ |
| Terveys | Terveydenhuoltopalvelujen tarjoajat, EU:n vertailulaboratoriot, lääkkeiden tutkimus ja kehitys, farmaseuttisten perustuotteiden ja -valmisteiden valmistus, kansanterveyden kriittisten lääkinnällisten laitteiden valmistus hätätilanteessa | ✅ | ✔️ | ❌ |
| Juoma- & jätevesi | ✅ | ✔️ | ❌ | |
| Digitaalinen infrastruktuuri | Hyväksytyt luottamuspalveluntarjoajat | ✅ | ✅ | ✅ |
| Ei-hyväksytyt luottamuspalveluntarjoajat | ✅ | ✔️ | ✔️ | |
| DNS-palveluntarjoajat (lukuun ottamatta juurinimipalvelimia) | ✅ | ✅ | ✅ | |
| Aluetunnusrekisterit | ✅ | ✅ | ✅ | |
| Yleisten sähköisten viestintäverkkojen tarjoajat | ✅ | ✅ | ✔️ | |
| Yleisesti saatavilla olevat sähköisten viestintäpalveluiden tarjoajat | ✅ | ✅ | ✔️ | |
| Internetin yhdysliikennepisteiden tarjoajat | ✅ | ✔️ | ❌ | |
| Pilvipalveluntarjoajat | ✅ | ✔️ | ❌ | |
| Datakeskuspalveluntarjoajat | ✅ | ✔️ | ❌ | |
| Sisällönjakeluverkkojen tarjoajat | ✅ | ✔️ | ❌ | |
| Yritysten välinen TVT-palvelujenhallinta | Hallintapalveluntarjoajat, tietoturvapalveluntarjoajat | ✅ | ✔️ | ❌ |
| Avaruus | Maanpäällisen infrastruktuurin ylläpitäjät | ✅ | ✔️ | ❌ |
| Julkishallinto | Keskeiset toimijat: tiedonhallintalakiehdotuksessa määritellyt toimijat | ✅ | ✅ | ✅ |
| Tärkeät toimijat: hyvinvointialueet ja -yhtymät sekä Helsingin kaupunki | ✔️ | ✔️ | ✔️ | |
| Muut kriittiset toimialat | Toimijan koko | |||
| Toimiala | Toimialan osa | Suuri | Keskisuuri | Pieni |
| Posti- ja kuriiripalvelut | ✔️ | ✔️ | ❌ | |
| Jätehuolto | ✔️ | ✔️ | ❌ | |
| Kemikaalit | Valmistus, tuotanto ja jakelu | ✔️ | ✔️ | ❌ |
| Elintarvikkeet | Teollinen tuotanto, jalostus ja tukkukauppa | ✔️ | ✔️ | ❌ |
| Valmistus | Lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset tuotteet, sähkölaitteet, muut koneet ja laitteet, moottoriajoneuvot ja perävaunut sekä puoliperävaunut, muut kulkuneuvot | ✔️ | ✔️ | ❌ |
| Digitaalisen palvelun tarjoajat | Verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat | ✔️ | ✔️ | ❌ |
| Tutkimustoiminta | Tutkimusorganisaatiot | ✔️ | ✔️ | ❌ |
| Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat | Kaikenkokoiset toimijat, mutta vain toimijaluetteloon ilmoittautumisen ja verkkotunnusten rekisteröintitietoja koskevien velvoitteiden osalta. | ✔️ | ✔️ | ❌ |
Vastuu myös kumppaneilla
On tärkeää huomata, että lainsäädänön vaikutus yltää myös yhteistyökumppaneihin. Näin direktiivi vaikuttaa välillisesti myös sellaiseen organisaatioon, joka kuuluu keskeisen tai tärkeän toimijan toimitusketjuun, vaikka organisaatiota ei itse luokiteltaisi tärkeäksi tai keskeiseksi toimijaksi. Toimijoilla on syytä varmistaa riippuvuussuhteessa olevien sidosryhmien NIS2-kelpoisuus ja vastaavasti ei soveltamisalaan kuuluvien organisaatioiden on hyvä varmistaa, että ovat NIS2-kelpoisia, mikäli toimivat tärkeän tai keskeisen toimijan sidosryhmässä.
Wapice, NIS2-valmis toimija ja konsultoija
NIS2-vaatimukset pohjautuvat vahvasti jo yleisesti ottaen käytössä olevien standardien vaatimuksiin ja näin esimerkiksi on ISO/IEC 27001 standardin osalta. ISO/IEC 27001 on puolestaan kansainvälisesti hyväksytty standardi tietoturvallisuuden hallintajärjestelmien vaatimuksille. Wapice on vuodesta 2007 asti ollut ISO/IEC 27001 sertifioitu yritys ja meillä on vuosien kokemus asiakastyöstä eri toimialoilla ja teollisuudessa. Laatuvaatimuksemme ja omaamamme sertifikaatit tekevät Wapicesta valmiin yhteistyökumppanin toimimaan myös NIS2 voimaantulon jälkeen. Olemme valmiita avustamaan NIS2 liittyvissä asioissa, sekä yhteistyössä varmistamaan, miten NIS2 vaikuttaa juuri teihin. Mikäli olette NIS2-alainen toimija, pystymme yhdessä huolehtimaan siitä, että direktiivin vaatimuksiin pystytään vastaamaan luomalla tarvittavat prosessit näiden täyttämiseksi.