EU:n verkko- ja tietoturvadirektiivi NIS2 laajentaa kyberturvallisuusvaatimusten soveltamisalaa merkittävästi aiempaan direktiiviin verrattuna. Uuden direktiivin piiriin kuuluvat organisaatiot jaetaan keskeisiin ja tärkeisiin toimijoihin useilla kriittisillä sektoreilla, kuten energia, liikenne, finanssiala, terveydenhuolto ja digitaalinen infrastruktuuri. Soveltamisala määräytyy toimialan kriittisyyden, yrityksen koon ja sen tarjoamien palveluiden yhteiskunnallisen merkityksen perusteella.
Mitä yrityksiä NIS2 koskee?
Euroopan Unionin uudistettu verkko- ja tietoturvadirektiivi koskettaa laajaa joukkoa eurooppalaisia organisaatioita. Direktiivi jakaa toimijat kahteen pääkategoriaan: keskeisiin ja tärkeisiin toimijoihin. Keskeisiin toimijoihin lukeutuvat kriittisen infrastruktuurin ylläpitäjät kuten energia-, liikenne- ja finanssialan yritykset, terveydenhuollon palveluntarjoajat sekä digitaalisen infrastruktuurin toimijat.
Tärkeisiin toimijoihin puolestaan kuuluvat mm. posti- ja kuriiripalvelut, jätehuolto, kemianteollisuus, elintarviketuotanto, valmistusteollisuus sekä digitaalisten palvelujen tarjoajat. Yrityksen koko vaikuttaa soveltamisalaan siten, että direktiivi koskee pääasiassa keskisuuria ja suuria yrityksiä. Mikroyritykset ja pienet organisaatiot jäävät usein soveltamisalan ulkopuolelle, paitsi jos ne toimivat erityisen kriittisillä aloilla.
Miten tunnistan, kuuluuko yritykseni NIS2-direktiivin piiriin?
Organisaation aseman arviointi NIS2-direktiivin suhteen edellyttää sekä toimialan että yrityksen koon tarkastelua. Ensimmäiseksi on määritettävä, toimiiko yrityksesi direktiivin määrittelemillä kriittisillä sektoreilla. Keskeisillä toimialoilla toimivat yritykset kuuluvat todennäköisesti direktiivin piiriin.
Kokorajat määräytyvät yleensä henkilöstömäärän ja liikevaihdon perusteella. Tyypillisesti yli 50 työntekijän ja yli 10 miljoonan euron vuosiliikevaihdon yritykset kuuluvat soveltamisalaan. On kuitenkin huomioitava, että erityisen kriittisillä aloilla myös pienemmät toimijat voivat kuulua direktiivin piiriin. Toisaalta tietyillä aloilla on olemassa erityispoikkeuksia, jotka kannattaa selvittää toimialakohtaisesti.
Mitä velvoitteita NIS2 asettaa sen piiriin kuuluville yrityksille?
NIS2-direktiivi edellyttää yrityksiltä merkittäviä toimenpiteitä kyberturvallisuuden parantamiseksi. Keskeisiin vaatimuksiin lukeutuvat kattavien riskienhallintamekanismien käyttöönotto, jossa tunnistetaan, arvioidaan ja hallitaan verkko- ja tietoturvariskejä järjestelmällisesti. Yritysten on myös laadittava kokonaisvaltainen kyberturvallisuusstrategia ja implementoitava tekniset ja organisatoriset suojatoimenpiteet.
Direktiivi asettaa tiukat raportointivelvoitteet, joiden mukaan merkittävistä tietoturvahäiriöistä on ilmoitettava viranomaisille 24 tunnin kuluessa. Lisäksi yritysjohdon vastuu korostuu, sillä johtotason on osallistuttava aktiivisesti kyberturvallisuuskoulutukseen ja kyberturvallisuuspolitiikan valvontaan. Säännösten noudattamatta jättämisestä voi seurata tuntuvia sanktioita.
NIS2-direktiiviin valmistautuminen – seuraavat askeleet
Yritysten kannattaa aloittaa valmistautuminen välittömästi tekemällä kattava valmiusanalyysi. Kartoita, kuuluuko organisaatiosi direktiivin soveltamisalaan, ja arvioi oma kyberturvallisuutesi nykytila. Tunnista mahdolliset puutteet vertaamalla nykytilannetta direktiivin vaatimuksiin ja laadi selkeä etenemissuunnitelma puutteiden korjaamiseksi.
Kehitä tarvittavat prosessit häiriöiden havaitsemiseen, raportointiin ja hallintaan. Varmista, että organisaatiossasi on riittävä osaaminen tai harkitse ulkoisten asiantuntijoiden hyödyntämistä. Granite Oy:n riskienhallintajärjestelmä tarjoaa tehokkaan työkalun NIS2-vaatimusten hallintaan. GRC-alustamme auttaa tunnistamaan riskit, jakamaan vastuut ja raportoimaan kokonaisvaltaisesti, mikä helpottaa direktiivin vaatimusten täyttämistä ja seurantaa.
Kuuntele myös webinaarimme: NIS2-tietoturvavaatimukset haltuun