Keitä NIS2 koskee ja mitä vaatimuksia se asettaa yrityksille?

Written By Marvel Consulting Team

EU:n NIS2-direktiiviin perustuva kyberturvallisuuslaki tuli Suomessa voimaan tiistaina 8. huhtikuuta. Tämä uusi lainsäädäntö koskee keskisuuria ja suuria yhteiskunnalle kriittisiä yrityksiä ja asettaa niille erilaisia kyberturvallisuuteen liittyviä vaatimuksia. NIS2-tietoturvadirektiivi tuli voimaan EU:ssa jo lokakuussa, joten Suomi, kuten moni muukin unionin jäsenmaa, oli myöhässä EU:n asettamasta aikataulusta. 

Viime heinäkuussa kirjoitimme NIS2-direktiivistä sekä DORA-asetuksesta blogissamme. Mikäli haluat lukea perustietoja molemmista, klikkaa tästä!

NIS2-direktiivi koskee kriittisten alojen suuria ja keskisuuria yrityksiä

Uusi NIS2-direktiivi ja Suomen kansallinen kyberturvallisuuslaki koskevat erityisesti suuria ja keskisuuria yrityksiä seuraavilla aloilla: 

  • Energia

  • Kuljetus

  • Pankkitoiminta

  • Rahoitusmarkkinoiden infrastruktuurit

  • Terveys

  • Juomavesi

  • Jätevesi

  • Digitaalinen infrastruktuuri

  • ICT-palveluiden hallinta (B2B)

  • Julkishallinto

  • Avaruus

  • Posti- ja kuriiripalvelut

  • Jätehuolto

  • Kemikaalien valmistus, tuotanto ja jakelu

  • Ruoan tuotanto, jalostus ja jakelu

  • Valmistus

  • Digipalveluntarjoajat

  • Tutkimus

Marvel Consultingin oma tietoturvan asiantuntija Janne kuitenkin muistuttaa, että lainsäädäntö saattaa koskettaa yrityksiä myös epäsuorasti:

"NIS2 yksi haaste on ollut se, että se koskettaa yrityksiä jotka itse eivät suoraan ole NIS2 alaisia mutta ovatkin osa kriittistä ketjua, jonka seurauksena ovatkin NIS2 alaisia. Esimerkiksi kuljetusliikkeet, jotka ovat osa terveydenhuollon ketjua, kuten lääkkeiden kuljetus apteekkeihin."

NIS2:n asettamat vaatimukset yrityksille 

Tämä lainsäädäntö asettaa erilaisia vaatimuksia sen piirissä oleville yrityksille. Tarkoituksena on varmistaa, että kriittisten alojen toimijoiden kyberturvallisuus on riittävän hyvällä tasolla. Tämä puolestaan auttaa varmistamaan, etteivät tietovuodot tai kyberhyökkäkset tapahdu yllättäen tai huomaamatta.

NIS2-direktiivi ja kyberturvallisuuslaki velvoittaa liittymään toimialakohtaiseen toimijaluetteloon, ilmoittamaan merkittävistä poikkeamista viestintäverkoissa tai tietojärjestelmissä sekä noudattamaan kyberturvallisuuden riskienhallintavelvoitteita. 

Kyberturvallisuuden riskienhallintavelvoitteet

Kyberturvallisuuskeskus listaa riskienhallintavelvoitteet seuraavasti: 

  1. Kyberturvallisuutta koskevan riskienhallinnan toimintaperiaatteet ja hallintatoimenpiteiden vaikuttavuuden arviointi.

  2. Viestintäverkkojen ja tietojärjestelmien turvallisuutta koskevat toimintaperiaatteet.

  3. Viestintäverkkojen ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus sekä tarvittavat menettelyt haavoittuvuuksien käsittelemiseksi ja julkistamiseksi.

  4. Toimitusketjun välittömien toimittajien tuotteiden ja palveluntarjoajien palvelujen yleinen laatu ja häiriönsietokyky, niihin sisällytetyt hallintatoimenpiteet sekä välittömien toimittajien ja palveluntarjoajien kyberturvallisuuskäytännöt.

  5. Omaisuudenhallinta ja sen turvallisuuden kannalta tärkeiden toimintojen tunnistaminen.

  6. Henkilöstöturvallisuus ja kyberturvallisuuskoulutus. 

  7. Pääsynhallinnan ja todentamisen menettelyt.

  8. Salausmenetelmien käyttämistä koskevat toimintaperiaatteet ja menettelyt sekä tarvittaessa toimenpiteet suojatun sähköisen viestinnän käyttämiseksi.

  9. Poikkeamien havainnointi ja käsittely turvallisuuden ja toimintavarmuuden palauttamiseksi ja ylläpitämiseksi.

  10. Varmuuskopiointi, palautumissuunnittelu, kriisinhallinta ja muu toiminnan jatkuvuuden hallinta ja tarvittaessa suojattujen varaviestintäjärjestelmien käyttö.

  11. Perustason tietoturvakäytännöt toiminnan, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden ja tietoaineistoturvallisuuden varmistamiseksi.

  12. Toimenpiteet viestintäverkkojen ja tietojärjestelmien fyysisen ympäristön ja tilaturvallisuuden sekä välttämättömien resurssien varmistamiseksi.

Yrityksellä tulee siis olla kyberturvallisuuden riskienhallinnan toimintamalli, jota ylläpidetään ajantasaisesti. Tarvittavat riskienhallinnan toimenpiteet tulee myös suhteuttaa esimerkiksi mahdollisen poikkeamaan ennakoitavissa oleviin vaikutuksiin ja todennäköisyyteen sekä viestintäverkkojen ja tietojärjestelmien alttiuteen riskeille.  

Vaatimuksien noudattamatta jättäminen 

Mikäli lainsäädännön piiriin kuuluva toimija ei noudata vaatimuksia, voi seuraamusmaksu olla jopa 10 000 000 euroa tai 2 % edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta. 

Tarvitsetko apua NIS2 velvoittamiin toimenpiteisiin?

Vaikka lainsäädäntö tuli Suomessa voimaan reilu viikko sitten, on monilla yrityksillä kolmen kuukauden siirtymäaika. Oikea aika varmistaa velvoitteiden noudattaminen on siis nyt! Jos tarvitset apua, konsulttimme siihen pystyvät. Ota yhteyttä ja jutellaan lisää!

Lisää aiheesta voit lukea Traficomin sivuilta. Myös Tivi kirjoitti tästä aiheesta aiemmin tällä viikolla.

Marvel Consulting Team
Previous

Marvelous Match jopa 24h sisällä: IT-konsultti nopeasti ja joustavasti Marvel Consultingilta
Next

Kumppanuus IT-konsultoinnin alalla: Miten päästä osaksi Marvel Consultingin verkostoa