Valmistautuminen NIS2-direktiiviin: Aika toimia on nyt

EU:n laajuinen kyberturvallisuutta koskeva NIS2-direktiivi tulee Suomen lakiin ja astuu voimaan 18. lokakuuta 2024 (laki kyberturvallisuuden riskienhallinnasta).

Miksi NIS2 säädettiin?

Direktiivi säädettiin vastaamaan kasvavaan digitaaliseen riippuvuuteen ja monimutkaistuviin kyberuhkiin Euroopan unionissa nykyisessä geopoliittisessa tilanteessa, keskittyen erityisesti kriittisten infrastruktuurien suojaamiseen. Direktiivi vahvistaa EU:n kykyä torjua digitaalisia uhkia ja edistää tietoturvakulttuuria organisaatioissa.

Direktiivin keskeinen sisältö

NIS2-direktiivi asettaa vaatimuksia organisaatioiden riskienhallintaprosesseille ja tietoturvatoimille. Organisaatioiden on tunnistettava ja arvioitava mahdolliset tietoturvauhat ja haavoittuvuudet sekä suunniteltava ja toteutettava toimenpiteet niiden hallitsemiseksi ja ehkäisemiseksi.

Tietoturvatapahtumien ilmetessä organisaatioiden on myös kyettävä havaitsemaan poikkeama nopeasti ja reagoitava tehokkaasti sekä raportoitava siitä viranomaiselle 24 tunnin kuluessa havaitsemisesta, virka-ajasta riippumatta.

Toteutumisen varmistamiseksi direktiivi sisältää johdon henkilökohtaisen vastuun ja mahdollisuuden määrätä yritykselle sakkoja 10 000 000 € tai 2% globaalista liikevaihdosta.

Keitä NIS2 koskee?

NIS2-direktiivi koskee laajasti yhteiskunnan infrastruktuurin kriittisiä toimialoja, kuten energiaa, liikennettä, elintarvikkeita, terveydenhuoltoa ja digitaalipalveluita tarjoavia yrityksiä. Julkishallinnon kohdalla osa julkishallintoa ei tule olemaan NIS2:n piirissä, mutta esimerkiksi yhtiöitetyt toiminnot tai kriittisenä palveluntarjoajana toimiva kunta tulee olemaan. Kaikkein pienimpiä yrityksiä NIS2 ei koske suoraan, elleivät nämä ole erityisen kriittisiä.

Toimialat, joita NIS2-direktiivi koskee

  • Energia-ala
  • Liikenne
  • Pankki- ja finanssiala infrapalveluineen
  • Terveydenhoito ja lääkehuolto
  • Vesihuolto ja jätevesi
  • Digitaalinen infrastruktuuri
  • Tieto- ja viestintätekniikan hallinta
  • Julkinen hallinto
  • Posti- ja kuriiripalvelut
  • Jätehuolto
  • Kemian ala
  • Elintarvikeala
  • Digitaaliset palvelut
  • Eräät valmistusalat:
    • Lääkinnälliset laitteet
    • Sähkölaitteet
    • Mekaaniset laitteet
    • Kulkuneuvot
  • Tutkimustoiminta

Turvallisempaa tulevaisuutta

EU on ottanut hyvin vahvan otteen digitaalisen maailman sääntelystä. Tietosuoja-asetus GDPR oli näkyvä lähtölaukaus tälle kehitykselle. NIS2 suojaa yhteiskunnan perustuksia. Tämän lisäksi EU säätelee muilla direktiiveillä ja asetuksilla digitaalisia markkinoita, tekoälyä, rahaliikennettä sekä muita tärkeitä yhteiskunnan toimintoja. Tässä ei ole mitään radikaalia tai uutta; yhteiskunta on säädellyt kaikkia tärkeitä toimialoja aina, kun ne ovat kehittyneet riittävän tärkeiksi (ilmailu, energia, terveys jne.)

Yritysten on tässä kohtaa hyvä havaita, että kyberturvallisuus ei ole vain lainsäädännöllinen vaatimus, vaan jatkossa myös liiketoiminnan kannalta välttämättömyys. Turvallisuus on keskeinen osa organisaation mainetta ja asiakkaiden luottamusta. Tämä korostuu, kun liiketoiminnan prosessit integroituvat ja yritykset tulevat yhä riippuvaisemmiksi toistensa toiminnasta ja tietojärjestelmistä.

Viime vuosina olemme nähneet tapauksia, jossa suuren organisaation toiminta voi halvaantua viikoiksi kyberhyökkäyksen johdosta, aiheuttaen suurta taloudellista vahinkoa. Jatkossa kyberturvallisuus on samantapainen omaisuutta suojaava kulu kuin kulunvalvonta tai tehtaan aitaaminen ja vartiointi.

NIS2 edellyttää omien toimintojen suojaamisen lisäksi myös toimitusketjujen turvaamista. Tämän takia se tulee vaikuttamaan myös yrityksiin, jotka eivät ole välittömästi NIS2:n piirissä. Direktiivin piirissä oleva toimija tulee todennäköisesti edellyttämään, että myös sen kumppanit pystyvät osoittamaan riittävää turvallisuustasoa.

Miten edetä?

NIS2-direktiivin vaatimukset edellyttävät käytännössä tietoturvan hallintajärjestelmän olemassaoloa sekä hallintajärjestelmän toimivuuden osoittamista ja varmentamista. Turvallisuuden hallintajärjestelmä politiikkoineen, prosesseineen ja vuosikelloineen on kivijalka, jonka päälle muu tietoturvallisuus rakentuu. Hallintajärjestelmän lisäksi tarvitaan myös teknisempiä toimenpiteitä, jotka perustuvat riskiarviossa osoitettuun tarpeeseen.

Suurin osa NIS2:n vaatimuksista sisältyy olemassa olevaan ISO 27001 -tietoturvastandardiin, joten NIS2-direktiivin vaatimusten toteuttaminen ISO 27001:n päälle saattaa olla nopein ja kustannustehokkain strategia. Tällöin yritys ei ainoastaan täytä NIS2-direktiivin vaatimuksia vaan myös osoittaa ulospäin tunnetun standardin avulla, että organisaatio on vahvasti sitoutunut suojaamaan tietojaan ja toimintaansa verkkouhkilta.

NIS2-direktiivin vaatimusten täyttäminen kannattaa aloittaa niin sanotulla gap-analyysillä. Siinä asiantuntija tutustuu organisaation tilanteeseen, vertaa sitä NIS2-direktiivin vaatimuksiin ja tekee sen pohjalta selvityksen mitä kaikkea vielä pitää tehdä, jotta organisaation toiminta täyttää NIS2-direktiivin vaatimukset. Työmäärä ei ole välttämättä suuri, etenkin jos turvallisuus ja prosessit ovat jo olemassa, ja ne ovat oikeansuuntaisia.

Juuri nyt on oikea aika toimia

Aika on nyt otollinen aloittaa valmistautuminen, sillä ensi lokakuuhun on yllättävän vähän aikaa ja tehtävä ei ole ihan yksinkertainen. Lisäksi varsin moni toimija tarvitsee tähän prosessiin sekä asiantuntija-apua että resursseja, eikä niitä luultavasti riitä kaikille tarvitsijoille, sillä kaikki tarvitseva niitä samaan aikaan. Tässäkin asiassa nopeat syövät hitaat.

Jari Wickström ja Timo Kiravuo
Tämän blogikirjoituksen ovat kirjoittaneet asiantuntijamme Jari Wickström (vasemmalla) ja Timo Kiravuo (oikealla).

 

Mikäli sinulla on kysyttävää tai tarvitset apua tietoturva-asioissa, älä epäröi ottaa yhteyttä.