EU:n verkko- ja tietoturvadirektiivi NIS2 astui voimaan tammikuussa 2023 ja jäsenmaiden oli saatettava se osaksi kansallista lainsäädäntöä lokakuuhun 2024 mennessä. Uudistettu direktiivi laajentaa merkittävästi soveltamisalaa ja tuo tiukemmat kyberturvallisuusvaatimukset monille toimialoille.
Milloin NIS2 tuli voimaan?
Euroopan Unionin NIS2-direktiivi hyväksyttiin joulukuussa 2022, ja se tuli voimaan tammikuussa 2023. Jäsenvaltioilla, mukaan lukien Suomella, oli aikaa lokakuuhun 2024 asti saattaa direktiivi osaksi kansallista lainsäädäntöä. Tämän jälkeen alkaa siirtymäaika, jonka aikana direktiivin piiriin kuuluvien organisaatioiden on mukautettava toimintansa vastaamaan uusia vaatimuksia. Käytännössä yritysten tulisi aloittaa valmistautuminen välittömästi, sillä vaatimusten täyttäminen saattaa vaatia merkittäviä muutoksia toimintatapoihin.
Mitä NIS2-direktiivi tarkoittaa käytännössä?
NIS2-direktiivi laajentaa huomattavasti alkuperäisen NIS-direktiivin soveltamisalaa ja tiukentaa kyberturvallisuusvaatimuksia. Käytännössä direktiivi edellyttää kattavampia riskienhallintamenetelmiä, säännöllistä auditointia, häiriötilanteiden raportointia ja johdon selkeää vastuunottoa kyberturvallisuudesta. Verrattuna edeltäjäänsä, NIS2 koskettaa laajempaa joukkoa toimialoja, mukaan lukien energia-, liikenne-, ja terveydenhuollon sektoreita sekä rahoituspalveluja, julkishallintoa ja digitaalista infrastruktuuria.
Mitkä yritykset kuuluvat NIS2-direktiivin piiriin?
Direktiivi koskee keskeisiä ja tärkeitä toimialoja. Keskeisiin kuuluvat mm. energia-ala, liikenne-ala, pankit, terveydenhuolto, digitaalinen infrastruktuuri ja julkishallinto. Tärkeitä toimialoja ovat mm. posti- ja kuriiripalvelut, jätehuolto, kemianteollisuus ja digitaaliset palveluntarjoajat. Soveltamisalaan kuuluminen määräytyy pääasiassa yrityksen koon ja toimialan kriittisyyden perusteella. Tyypillisesti direktiivi koskee keskisuuria ja suuria yrityksiä, joilla on yli 50 työntekijää ja yli 10 miljoonan euron vuosiliikevaihto.
Miten valmistautua NIS2-direktiivin vaatimuksiin?
Valmistautuminen alkaa selvittämällä, kuuluuko organisaatio direktiivin soveltamisalaan. Seuraavaksi tulisi tehdä nykytila-analyysi kyberturvallisuuden tasosta ja tunnistaa kehityskohteet. Konkreettisia askeleita ovat:
- Kyberturvallisuusriskien järjestelmällinen arviointi
- Tietoturvastrategian ja -politiikan päivittäminen
- Häiriötilanteiden hallintaprosessien kehittäminen
- Henkilöstön kouluttaminen
- Toimitusketjun turvallisuuden varmistaminen
Aikataulutuksessa kannattaa huomioida, että perusteelliseen valmistautumiseen tulisi varata 12-18 kuukautta aikaa.
Mitä seurauksia NIS2-direktiivin noudattamatta jättämisestä voi tulla?
Direktiivin rikkomisesta voi seurata huomattavia sanktioita. Keskeisten toimijoiden kohdalla sakot voivat olla jopa 10 miljoonaa euroa tai 2% globaalista liikevaihdosta, ja tärkeiden toimijoiden kohdalla 7 miljoonaa euroa tai 1,4% liikevaihdosta. Valvontaviranomaisilla on myös valtuudet määrätä väliaikaisia toimintakieltoja ja kohdistaa sanktioita organisaatioiden johtoon. Suomessa valvontaviranomaisena toimii Traficom ja muut sektorikohtaiset valvontaviranomaiset.
NIS2-direktiivin tärkeimmät huomiot yrityksille
NIS2 on merkittävä muutos, joka koskettaa laajasti eri toimialoja. Pienemmille organisaatioille suosittelemme vähintään kyberturvallisuuden perustason varmistamista, vaikka direktiivi ei suoraan koskisikaan niitä. Keskisuurten ja suurten yritysten on syytä aloittaa valmistautuminen välittömästi kartoittamalla nykytila ja luomalla suunnitelma vaatimusten täyttämiseksi.
Me Granite Oy:ssä tarjoamme tukea NIS2-direktiivin vaatimusten täyttämisessä. GRC-alustamme auttaa riskienhallinnassa, vaatimustenmukaisuuden seurannassa ja raportoinnissa. Älykäs järjestelmämme tukee riskitietoista päätöksentekoa ja helpottaa kyberturvallisuuden kokonaisvaltaista johtamista, oli kyberturvallisuus sinulle tuttu tai uusi alue.