NIS2-direktiivi tuo yrityksesi tietoturvalle uusia vaatimuksia

  • NIS2
  • tietoturva

10.12.2024

Nopeasti kehittyvät tietoturvauhat vaativat myös lainsäädännön kehittämistä. Tähän tarpeeseen luotu uusi lainsäädäntö, NIS2, koskee myös monia sellaisia yrityksiä, jotka eivät arjessa ole tietoturvan kanssa selvästi tekemisissä. Vaatimusten laiminlyönnistä voi saada tuntuvat taloudelliset sanktiot, joten muutokseen valmistautuminen kannattaa aloittaa heti.

Mikä NIS2 on?

NIS2 on EU:n uusi, laajennettu kyberturvallisuusdirektiivi. Se laajentaa jo käytössä olevaa koko EU:n kattavaa tietoturvalainsäädäntöä ja korvaa aiemman NIS1-direktiivin vuodelta 2016. NIS on lyhenne englannin kielen sanoista Network and information security.

Uuden lainsäädännön tarkoitus on modernisoida sekä laajentaa jo olemassa olevaa lainsäädäntökehystä ja pysyä kasvaneen digitalisaation ja jatkuvasti kehittyvien tietoturvauhkien edellä. NIS2 asettaa korkean tason tietoturva vaatimukset kriittisen infrastruktuurin suojaamisesta jäsenvaltioille, näin lisäten tietoturvallisuutta koko EU:n alueella. Laajennus kattaa kaikenlaisen kriittisen infrastruktuurin, ei ainostaan tietoteknillistä infrastruktuuria.

NIS2 on tällä hetkellä Liikenne- ja viestintäministeriön lakivalmistelussa.

Direktiivi asettaa seuraavat vaatimukset koskettamaan keskeisiä ja tärkeitä toimijoita:

  1. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
  2. Johdon vastuu
  3. Kyberturvallisuuden riskienhallinnan toimintamalli
  4. Kyberturvallisuuden riskienhallinnan toimintaperiaatteet ja riskienhallinnan toimenpiteiden vaikuttavuuden arviointi
  5. Omaisuudenhallinta ja turvallisuuden kannalta tärkeiden toimintojen tunnistaminen
  6. Pääsynhallinnan ja todentamisen menettelyt
  7. Poikkeamailmoitukset ja poikkeamista raportointi
  8. Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi
  9. Perustason kyberhygieniakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi
  10. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttöön
  11. Toimitusketjun toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, tuotteisiin ja palveluihin sisällytetyt kyberturvallisuusriskien hallintatoimenpiteet sekä toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt
  12. Toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi
  13. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö toimijan toiminnassa
  14. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelyyn ja julkistamiseen
  15. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet

Sanktiot

NIS2:n noudattamatta jättäminen voi johtaa sanktioihin, jotka voivat olla keskeisillä toimijoilla jopa 10 miljoonaa euroa tai 2% globaalista liikevaihdosta ja tärkeillä toimijoilla 7 miljoonaa euroa tai 1,4% globaalista liikevaihdosta. Valvova viranomainen voi suorittaa keskeisille toimijoille tarkastuksen NIS2 noudattamisesta, vaikka toimijan ei epäiltäisi jättäneen noudattamatta NIS2-vaatimuksia.

Keihin direktiivi vaikuttaa?

Direktiivin kohteena olevat organisaatiot ovat joko keskeisiä toimijoita tai tärkeitä toimijoita riippuen niiden koosta, toimialasta ja kriittisyydestä. Alla olevasta taulukosta näkee suuntaa antavasti luokittelua keskeisistä ja tärkeistä toimijoista. On tärkeää huomata, että NIS2 saattaa koskettaa näin ollen myös hyvin pieniä organisaatioita, jotka toimivat NIS2-tulkinnan mukaisesti erittäin kriittisellä toimialalla. Tätä varten on hyvä löytää ymmärrys siitä, että täyttääkö oma organisaatio keskeisen tai tärkeän toimijan kriteerit.

TAULUKON SELITYKSET

 

Suuri toimija
Yritys, jonka palveluksessa on vähintään 250 työntekijää tai jonka vuosiliikevaihto ylittää 50 miljoonaa euroa ja taseen loppusumma ylittää 43 miljoonaa euroa.

 

Keskisuuri toimija
50–249 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.

 

Pieni toimija
Alle 50 työntekijää tai vuosiliikevaihto ja taseen loppusumma korkeintaan 10 miljoonaa euroa.

 

✅ = Keskeinen toimija
✔️ = Tärkeä toimija
❌ = Ei kuulu soveltamisalaan

 

Erittäin kriittiset toimialat Toimijan koko
Toimiala Toimialan osa Suuri Keskisuuri Pieni
Energia Sähkö, kaukolämmitys ja -jäähdytys, kaasu, vety, öljy, latauspalvelujen tarjoajat loppukäyttäjille ✔️
Liikenne Ilmaliikenne, raideliikenne, vesiliikenne, tieliikenne ✔️
Pankkiala Luottolaitokset ✔️
Finanssimarkkinoiden infrastruktuurit Kauppapaikkojen ylläpitäjät ja keskusvastapuolet ✔️
Terveys Terveydenhuoltopalvelujen tarjoajat, EU:n vertailulaboratoriot, lääkkeiden tutkimus ja kehitys, farmaseuttisten perustuotteiden ja -valmisteiden valmistus, kansanterveyden kriittisten lääkinnällisten laitteiden valmistus hätätilanteessa ✔️
Juoma- & jätevesi ✔️
Digitaalinen infrastruktuuri Hyväksytyt luottamuspalveluntarjoajat
Ei-hyväksytyt luottamuspalveluntarjoajat ✔️ ✔️
DNS-palveluntarjoajat (lukuun ottamatta juurinimipalvelimia)
Aluetunnusrekisterit
Yleisten sähköisten viestintäverkkojen tarjoajat ✔️
Yleisesti saatavilla olevat sähköisten viestintäpalveluiden tarjoajat ✔️
Internetin yhdysliikennepisteiden tarjoajat ✔️
Pilvipalveluntarjoajat ✔️
Datakeskuspalveluntarjoajat ✔️
Sisällönjakeluverkkojen tarjoajat ✔️
Yritysten välinen TVT-palvelujenhallinta Hallintapalveluntarjoajat, tietoturvapalveluntarjoajat ✔️
Avaruus Maanpäällisen infrastruktuurin ylläpitäjät ✔️
Julkishallinto Keskeiset toimijat: tiedonhallintalakiehdotuksessa määritellyt toimijat
Tärkeät toimijat: hyvinvointialueet ja -yhtymät sekä Helsingin kaupunki ✔️ ✔️ ✔️
Muut kriittiset toimialat Toimijan koko
Toimiala Toimialan osa Suuri Keskisuuri Pieni
Posti- ja kuriiripalvelut ✔️ ✔️
Jätehuolto ✔️ ✔️
Kemikaalit Valmistus, tuotanto ja jakelu ✔️ ✔️
Elintarvikkeet Teollinen tuotanto, jalostus ja tukkukauppa ✔️ ✔️
Valmistus Lääkinnälliset laitteet, tietokoneet sekä elektroniset ja optiset tuotteet, sähkölaitteet, muut koneet ja laitteet, moottoriajoneuvot ja perävaunut sekä puoliperävaunut, muut kulkuneuvot ✔️ ✔️
Digitaalisen palvelun tarjoajat Verkossa toimivien markkinapaikkojen, hakukoneiden ja verkkoyhteisöalustojen tarjoajat ✔️ ✔️
Tutkimustoiminta Tutkimusorganisaatiot ✔️ ✔️
Verkkotunnusten rekisteröintipalveluja tarjoavat toimijat Kaikenkokoiset toimijat, mutta vain toimijaluetteloon ilmoittautumisen ja verkkotunnusten rekisteröintitietoja koskevien velvoitteiden osalta. ✔️ ✔️

Vastuu myös kumppaneilla

On tärkeää huomata, että lainsäädänön vaikutus yltää myös yhteistyökumppaneihin. Näin direktiivi vaikuttaa välillisesti myös sellaiseen organisaatioon, joka kuuluu keskeisen tai tärkeän toimijan toimitusketjuun, vaikka organisaatiota ei itse luokiteltaisi tärkeäksi tai keskeiseksi toimijaksi. Toimijoilla on syytä varmistaa riippuvuussuhteessa olevien sidosryhmien NIS2-kelpoisuus ja vastaavasti ei soveltamisalaan kuuluvien organisaatioiden on hyvä varmistaa, että ovat NIS2-kelpoisia, mikäli toimivat tärkeän tai keskeisen toimijan sidosryhmässä.

Wapice, NIS2-valmis toimija ja konsultoija

NIS2-vaatimukset pohjautuvat vahvasti jo yleisesti ottaen käytössä olevien standardien vaatimuksiin ja näin esimerkiksi on ISO/IEC 27001 standardin osalta. ISO/IEC 27001 on puolestaan kansainvälisesti hyväksytty standardi tietoturvallisuuden hallintajärjestelmien vaatimuksille. Wapice on vuodesta 2007 asti ollut ISO/IEC 27001 sertifioitu yritys ja meillä on vuosien kokemus asiakastyöstä eri toimialoilla ja teollisuudessa. Laatuvaatimuksemme ja omaamamme sertifikaatit tekevät Wapicesta valmiin yhteistyökumppanin toimimaan myös NIS2 voimaantulon jälkeen. Olemme valmiita avustamaan NIS2 liittyvissä asioissa, sekä yhteistyössä varmistamaan, miten NIS2 vaikuttaa juuri teihin. Mikäli olette NIS2-alainen toimija, pystymme yhdessä huolehtimaan siitä, että direktiivin vaatimuksiin pystytään vastaamaan luomalla tarvittavat prosessit näiden täyttämiseksi.