NIS2-sääntely ja organisaatiosi: Oletko valmistautunut?

EU NIS2-direktiivi astui voimaan 16. tammikuuta 2023, ja jäsenvaltioiden on saatettava se osaksi kansallista lainsäädäntöään viimeistään 17. lokakuuta 2024. NIS2-direktiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta keskeisten ja tärkeiden toimialojen ja toimijatyyppien osalta. Tämä uusi direktiivi määrittelee minimivaatimukset ja tuo mukanaan merkittäviä velvoitteita organisaation johdolle, mikä lisää heidän henkilökohtaista vastuutaan tietoturvan varmistamisessa ja sen valvonnassa.  

Ketkä ovat NIS2 piirissä?

NIS2-direktiivi koskee keskisuuria ja suuria toimijoita,  jotka toimivat direktiivin määrittelemillä kriittisillä aloilla ja nämä jaetaan vielä tarkemmin keskeisiin ja tärkeisiin toimijoihin. Näin ollen toimijoiden, joissa on yli 50 työntekijää tai yli 10 miljoonan euron liikevaihto ja taseen loppusumma, on syytä nyt tarkastella kyberturvallisuuteen liittyviä toimenpiteitä.  

Toimialoja, jotka kuuluvat sääntelyn piiriin, ovat muun muassa energia, liikenne, terveydenhuolto, digitaalinen infrastruktuuri, vesi- ja jätehuolto, elintarvikeala, posti- ja kuriiripalvelut, valmistava teollisuus, yritysten välinen TVT-palvelujen hallinta sekä digitaalisten palvelujen tarjoajat.  

Lisäksi vaatimukset voivat koskea minkä tahansa kokoisia toimijoita, mikäli muun muassa niiden palveluiden häiriöt voivat merkittävästi vaikuttaa yleiseen järjestykseen, turvallisuuteen tai kansanterveyteen. 

Mikäli toimija on CER-asetuksen (Critical Entities Resilience) alainen, on organisaation myös toteutettava NIS2 vaatimukset. CER asetus kattaa kriittisen infrastruktuurin laajemman resilienssin, mukaan lukien fyysiset turvallisuusuhat.  

Keskeisistä ja tärkeistä toimijoista tullaan tekemään luettelo.  

Miksi johdon tulisi nyt viimeistään kiinnostua kyberturvallisuudesta? 

NIS2-direktiivi ei ole vain tekninen vaatimuslista, vaan sen vaikutukset ulottuvat liiketoiminnan ja johdon vastuisiin.  

  1. Uhat ovat kasvussa. Valitettava trendi kyber- ja hybridikentässä on uhkien lisääntyminen. Sen lisäksi nämä rikolliset ja pahantahtoiset toimijat hyödyntävät uusinta teknologiaa, joten organisaatioiden on pohdittava miten pysyä ajantasalla ja mielummin edellä. 
  1. Asiakaskunnan luottamus: Asiakkaat odottavat, että he voivat luottaa käyttämiinsä palveluihin ja ratkaisuihin. Mainehaitta sekä liiketoiminnan menetykset voivat olla merkittäviä. 
  1. Johdon vastuun: NIS2 tuo mukanaan suoran vastuun yhtiön johdolle kyberturvallisuuden varmistamisesta. Johdon tulee toimia proaktiivisesti varmistaakseen, että tarvittavat toimet toteutetaan ennen ongelmien syntymistä. 
  1. Hallintoseuraamusmaksut: NIS2-direktiivin rikkomisesta seuraavat huomattavat sakot ja hallintoseuraamusmaksut:  keskeisille toimijoille 10 miljoonaa euroa tai 2 % toimijan maailmanlaajuisesta liikevaihdosta ja muille kuin keskeisille toimijoille 7 miljoonaa euroa tai 1,4 % toimijan maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. 

Mihin tulisi keskittyä? 

  • Rakenna hallintomalli (governance) ja luo sitä tukevat politiikat. Nykyiset digitaaliset ratkaisut voivat helpottaa tämän työn hallintaa ja valvontaa. 
  • Toteuta poikkeamienhallintasuunnitelma. Merkittävä poikkeama on raportoitava jo 24 tunnin kuluessa. 
  • Arvioi säännöllisesti toimitusketjusi kybermaturiteetti. Varmista, että toimitusketjusi pystyy vastaamaan kasvaviin kyberuhkiin. Muista, että organisaatiosi todennäköisesti on myös osa toimitusketjua, jolloin vaatimukset voivat kohdistuvat yritykseesi sopimuksellisesti, vaikka et muutoin ehkä kuuluisikaan NIS2 soveltamisalan piiriin. 
  • Panosta jatkuvaan kyberturvallisuuskoulutukseen. Tämä koskee sekä johtoa että koko henkilöstöä. 
  • Zero trust ajattelu osaksi toimintaa. Zero Trust on kuin talo, jossa jokaisessa huoneessa on lukko, ja vaikka joku pääsisi sisään pääovesta, heidän pitää näyttää avain jokaiseen huoneeseen erikseen. Suojataan siis tieto ja oletetaan, että ollaan jo/tullaan olemaan hyökkäyksen kohteena.  
  • Harjoittele! 

Seuraavat askeleet johdolle: 

  1. Priorisoi kyberturvallisuus organisaation johto- ja hallitustasolla. Kyberturvallisuuden on oltava säännöllisesti agendalla, ei vain kriisitilanteissa. 
  1. Kokoa monialainen tiimi tukemaan NIS2-valmiusarviointia sekä yleisesti toimintamallin täytäntöönpanoa. Tiimiin tulisi kuulua asiantuntijoita niin juridiikan, liiketoiminnan, tietosuojan kuin tietoturvan alueilta. 

Suomessa on tällä hetkellä valmistelussa uusi ”kyberturvallisuuslaki”, joka liittyy tiiviisti NIS2-direktiivin kansalliseen implementointiin. Voit seurata tältä sivulta asian käsittelyä Eduskunta: Kyberturvallisuuslaki. Informatiivinen sivusto löytyy myös Traficomilta.  

Huomattava joukko yrityksiä, yhteisöjä ja muita oikeushenkilöitä tulee kuulumaan uuden kyberturvallisuuslain soveltamisalan piiriin. Huolehdithan, että organisaatiosi on valmis ottamaan nämä askeleet kohti parempaa kyberturvallisuutta ja siten edistämään yhteiskunnan kokonaisturvallisuutta. Ota yhteyttä Laissan tiimiin mikäli kaipaat sparrauskumppania.