Mikä on NIS2? Kaikki, mitä sinun tarvitsee tietää EU:n kyberturvallisuusdirektiivistä
NIS2-direktiivi on EU-direktiivi, joka vahvistaa Euroopan jäsenvaltioiden ja yritysten kyberturvallisuutta tiukentamalla sääntöjä. Se kattaa tietoturvatoimenpiteiden toteuttamisen IT-suojauksen parantamiseksi sekä turvallisuustarkastukset ja nopeat ilmoituskanavat kyberturvallisuuspoikkeamien varalle. Vaikka Yhdistynyt kuningaskunta ei pane direktiiviä täytäntöön, koska se ei enää ole EU:n lainsäädännön alainen, on hyvä olla siitä tietoinen, jos harjoitat liiketoimintaa EU:n alueella.
Mikä on NIS2-direktiivi?
Euroopan unionin NIS2-direktiivin tavoitteena on parantaa jäsenvaltioiden elintärkeiden ja tärkeiden infrastruktuurien kykyä selviytyä kyberturvallisuusuhkista. Lyhenne NIS2 tarkoittaa ”Network and Information Security 2”. Kun direktiivi tuli voimaan 16. tammikuuta 2023, se korvasi aiemman NIS1-direktiivin, joka oli jo aiemmin muuttanut tietoturvaan suhtautumista.
Jotta voidaan taata mahdollisimman kattava suojaus EU:n jäsenvaltioiden sekä yksityisellä että julkisella sektorilla, uudessa NIS2-direktiivissä otetaan käyttöön kattavammat ja tiukemmat säännöt, jotka koskevat laajempaa kohderyhmää. Näin uusilla säännöillä pyritään varmistamaan parempi kyberresilienssi sekä tehokkaammat toimet kyberturvallisuusuhkia ja tietoturvaloukkauksia vastaan. NIS2-direktiivin tavoitteena on myös varmistaa, että väestölle elintärkeitä tavaroita tai palveluja tarjoavat keskeiset laitokset ovat suojattuja toimintakatkoksilta ja häiriöiltä kriisitilanteissa.
NIS2-direktiivin päätavoitteena on parantaa yritysten valmiuksia torjua kyberhyökkäyksiä sekä reagoida tehokkaasti ja nopeasti tietotekniikkahäiriöihin. Yhtenäisemmän tietoturvastrategian avulla EU:n jäsenvaltioissa pyritään siten varmistamaan mahdollisimman korkea kyberturvallisuustaso sekä kansallisella että kansainvälisellä tasolla EU:n alueella. Kaikkien jäsenvaltioiden on saatettava direktiivi osaksi kansallista lainsäädäntöään, mikä koskee sekä suuria yrityksiä että uusien säännösten piiriin kuuluvia pieniä ja keskisuuria yrityksiä.
Mitä muutoksia NIS2-direktiivi tuo mukanaan?
Velvollisuus panna täytäntöön NIS2-direktiivi kyberturvallisuuden vahvistamisesta (NIS2UmsuCG) tuo mukanaan laaja-alaisia muutoksia 18 eri toimialalla. Muun muassa olennaisen tärkeiksi luokiteltujen toimialojen määrä on yli kaksinkertaistunut, ja sääntöjen noudattamatta jättämisestä määrättävien sakkojen määrä on kiristynyt. Lisäksi myös toimitusjohtajat joutuvat vastuuseen.
Esimerkiksi Saksassa, Espanjassa, Italiassa ja Ranskassa NIS2-direktiivi vaikuttaa tuhansiin yrityksiin. Saksassa jopa 40 000 yritystä joutuu noudattamaan uutta direktiiviä ja Italiassa noin 50 000 yritystä. Espanjassa uusi direktiivi koskee noin 25 000 yritystä, kun taas Ranskassa sen vaikutukset ulottuvat yli 10 000 toimijaan.
Tässä on yhteenveto kaikista NIS2-direktiivin mukanaan tuomista muutoksista:
- Keskeisten alojen laajentaminen: NIS2-direktiivissä luokitellaan entistä useammat alat keskeisiksi.
- Ankarammat seuraamukset: direktiivi nostaa rikkomuksista määrättäviä sakkoja merkittävästi
- Johtajien vastuu: Johtajilla on nyt suora vastuu kyberturvallisuusvaatimusten noudattamisesta.
- Soveltamisalan laajentaminen: NIS2-direktiivi koskee yrityksiä, joissa on yli 50 työntekijää tai joiden liikevaihto on yli 10 miljoonaa euroa, sekä joitakin yrityksiä niiden koosta riippumatta.
- Kattavien riskianalyysien tarve: Yrityksillä on velvollisuus suorittaa perusteellisia riskianalyyseja.
- Vaadittu riskienhallinta ja turvallisuuden hallinta: Riskienhallintaan ja turvallisuustoimenpiteisiin sovelletaan tiukkoja vaatimuksia. Erilaiset suojatoimenpiteet, kuten tunkeutumistestit, laitteistopalomuurit ja varmuuskopiointistrategiat, ovat pakollisia.
- Pakollinen kriisinhallinta: Turvallisuuspoikkeamien sattuessa tarvitaan nopeita ja tehokkaita kriisinhallintastrategioita, viestintäkanavia ja raportointijärjestelmiä.
- Olemassa olevien turvallisuusprotokollien käyttö: Yritykset voivat käyttää viitteenä säänneltyjen toimialojen olemassa olevia turvallisuusstandardeja.
Ketä NIS2-direktiivi koskee?
NIS2-asetuksessa erotetaan toisistaan laajennetun välttämättömän luokan yritykset ja täysin uusi tärkeä luokka. Asetus koskee suoraan yrityksiä, joilla on yli 50 työntekijää tai joiden vuotuinen liikevaihto on vähintään 10 miljoonaa euroa. Lisäksi yritykset voivat kuulua NIS2-asetuksen piiriin koostaan riippumatta, jos niiden toiminnan keskeytyminen aiheuttaa järjestelmäriskejä. ”Olennaisten” yritysten luokkaan kuuluvat yritykset yhdestätoista toimialasta, mukaan lukien erityisesti kriittisen infrastruktuurin yritykset, jotka ovat elintärkeitä hallitukselle ja yhteiskunnalle. ”Tärkeiden” yritysten luokkaan puolestaan kuuluvat seitsemän toimialaa, jotka ovat järjestelmän kannalta tärkeitä.
Keskeiset toimialat ja yritykset
- Energia
- Vesihuolto
- Liikenne
- Pankkitoiminta
- Rahoitusmarkkinainfrastruktuurit
- Terveydenhuolto
- Avaruus
- Viemäröinti
- Julkishallinto
- Digitaalinen infrastruktuuri
- ICT-palvelujen hallinta (B2B)
Tärkeät toimialat ja yritykset
- Posti- ja kuriiripalvelut
- Jätteet
- Kemianteollisuus
- Elintarviketoimitukset
- Digitaalisten palvelujen tarjoajat
- Teollisuus (jalostus / valmistus)
- Tutkimus (valinnainen)
Mitä velvoitteita yrityksiin sovelletaan?
NIS2-direktiivin puitteissa yrityksiin kohdistuu tiukkoja velvoitteita ja merkittäviä muutoksia. Näitä ovat muun muassa:
| Velvollisuudet | Toimenpiteet |
|---|---|
| Riskienhallinta ja liiketoiminnan jatkuvuuden hallinta (§30, 31) | Salaus, monivaiheinen todennus, kryptografia, kyberhygienia, roolien määrittely ja pääsynhallinta, varmuuskopioinnin hallinta ja järjestelmän palauttaminen, toimitusketjun turvallisuus ja riskianalyysit ovat pakollisia. Vähimmäisvaatimukset vaihtelevat yrityksen koon mukaan ”kokorajoitussäännön” ansiosta. |
| Ilmoitus- ja tiedonantovelvollisuudet (§32, 35) | Merkittävistä tietoturvaloukkauksista on ilmoitettava viranomaisille 24 tunnin kuluessa. Alustavat arviot on toimitettava 72 tunnin kuluessa. Yksityiskohtainen loppuraportti on toimitettava yhden kuukauden kuluessa. |
| Rekisteröintivelvollisuudet (§33, 34) | Vaikutuksen kohteeksi joutuneet organisaatiot ja verkkotunnusrekisteripalvelujen tarjoajat on toimitettava tiedot vastuullisille viranomaisille viimeistään kolmen kuukauden kuluttua NIS2-asetuksen voimaantulosta. Jos rekisteröintivelvollisuutta ei täytetä, sen voi täyttää myös CSIRT (tietoturvapoikkeamien reagointiryhmä). |
| Toimitusjohtajien hyväksymis-, seuranta- ja koulutusvelvollisuudet (§38) | Johtoryhmän turvallisuustoimenpiteiden delegointi ei enää riitä. Johtoryhmän on aktiivisesti hyväksyttävä tarvittavat toimenpiteet, ja sillä on osittain velvollisuus järjestää koulutusta. |
| Valvonta- ja täytäntöönpanotoimenpiteet (§61, 62) | Yhden CSIRT-ryhmän odotetaan toimivan valvontaviranomaisena vaadittujen toimenpiteiden noudattamisen osalta. Valvontaviranomaisella on oikeus pyytää todisteita velvoitteiden noudattamisesta aikaisintaan kolme vuotta NIS2-direktiivin voimaantulon jälkeen. Toimenpiteitä voidaan määrätä välittömän vaaran uhatessa. |
Jotta voisit täyttää velvollisuutesi asianomaisena yrityksenä jo varhaisessa vaiheessa, sinun tulisi toteuttaa seuraavat toimenpiteet:
- Toteutunut tilanne ja tavoitetilanne: Selvitä, koskevatko NIS2-velvoitteet yritystäsi, ja kartoita yrityksesi kyberturvallisuuden nykytilanne sekä mahdolliset parannuskohteet.
- Toteutus: Riskianalyysi ja tietoturvakonseptit on otettava käyttöön kaikissa tietojärjestelmissä.
- Arviointi: Yrityksesi omien riskienhallintamenetelmien tehokkuutta tulisi arvioida säännöllisesti.
- Luominen: Turvallisuuspoikkeamien käsittelyä koskevan konseptin kehittäminen on pakollista.
- Varmuuskopiointi ja kriisinhallinta: Tietojen varmuuskopiointia ja kriisinhallintaa koskevat toimenpiteet on otettava käyttöön.
- Ilmoitusjärjestelmä: Turvallisuuspoikkeamien varalle on perustettava tehokas ilmoitusjärjestelmä.
- Koulutus: Työntekijöitä on koulutettava säännöllisesti.
- Toimitusketjun turvallisuus: Toimitusketjun turvallisuus on varmistettava.
Mitä tapahtuu, jos NIS2-direktiiviä ei panna täytäntöön?
Yritykset, jotka eivät toteuta määrättyjä toimenpiteitä, voivat joutua maksamaan huomattavia sakkoja (65 §). NIS2-direktiivin mukaisesti valvontaviranomaisille on annettu laajat valvonta-, tarkastus- ja ohjeistamisvaltuudet, mukaan lukien määräaikojen noudattamisen valvonta. Lisäksi toimitusjohtajat kantavat huomattavasti suuremman vastuun suojaus- ja turvallisuustoimenpiteistä, ja heidät voidaan asettaa henkilökohtaisesti vastuuseen rikkomusten tai laiminlyöntien sattuessa (38 §, 61 §).
Milloin NIS2-direktiivi tulee voimaan?
Euroopan parlamentti ja neuvosto hyväksyivät 14. joulukuuta 2022 direktiivin (EU) 2022/2555, joka tunnetaan nimellä NIS2-direktiivi. Se tuo mukanaan laajoja muutoksia eIDAS-asetukseen (EU) N:o 910/2014 ja EECC-direktiiviin (EU) 2018/1972. Se tuli virallisesti voimaan 16. tammikuuta 2023 ja korvasi NIS-direktiivin. Kaikkien EU:n jäsenvaltioiden on saatettava se osaksi kansallista lainsäädäntöään 17. lokakuuta 2024 mennessä.
Eri maissa eri viranomaiset vastaavat direktiivin täytäntöönpanon johtamisesta. Esimerkiksi Ranskassa ANSSI (Kansallinen tietojärjestelmien turvallisuusvirasto) johtaa täytäntöönpanotoimia ja on jopa käynnistänyt Mon Espace NIS 2-nimisen digitaalisen palvelun, jonka tarkoituksena on tukea organisaatioita direktiivin täytäntöönpanossa. Saksassa vastuullisena viranomaisena toimii BSI (liittovaltion tietoturvavirasto), ja Espanjassa CCN-CERT (kansallinen kryptologiakeskus) valvoo kyberturvallisuustoimenpiteitä ja varmistaa säännösten noudattamisen.