Kyberturvallisuus on yhä tärkeämpi osa yritysten arkea. Euroopan unionin uusi Euroopan unionin kyberturvallisuusdirektiivi, eli NIS2-direktiivi tuo vaatimuksia aiheeseen liittyen.
NIS2-direktiivi astui voimaan 16. tammikuuta 2023 ja jäsenvaltioiden on saatettava direktiivin vaatimukset osaksi kansallista lainsäädäntöä viimeistään 17. lokakuuta 2024 mennessä.
Mikä on NIS2-direktiivi?
NIS2-direktiivi (Network and Information Security Directive) korvaa aiemman NIS-direktiivin ja asettaa tiukempia tietoturvavelvollisuuksia sekä häiriöraportointivaatimuksia useille kriittisille sektoreille.
Direktiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa.
Ketä NIS2-direktiivi koskee?
NIS2-direktiivi laajentaa niiden toimijoiden joukkoa, joita kyberturvallisuusvelvoitteet koskevat. Uusi direktiivi koskettaa organisaatiota, jotka ovat joko keskeisiä tai tärkeitä niiden koon, toimialan tai kriittisyyden mukaisesti.
Näitä ovat muun muassa:
- Kriittiset infrastruktuurit
kuten energia-, vesi- ja jätehuolto, terveydenhuolto, liikenne sekä pankki- ja rahoituspalvelut. - Digitaaliset palvelut
kuten pilvipalvelut, hakukoneet, online-markkinapaikat ja sosiaalisen median alustat. - Muut keskeiset sektori
kuten elintarvikehuolto, jäähdytys- ja ilmastointilaitteet sekä julkishallinto.
👉 Voit tutustua tarkempaan selvitykseen tahoista, joita direktiivi koskee kyberturvallisuuskeskuksen taulukosta (PDF).
Mitä vaatimuksia NIS2-direktiivi asettaa?
Direktiivin mukaan yrityksillä ja organisaatioilla tulee olla ajan tasalla oleva kyberturvallisuuden riskienhallintamalli, jolla suojataan viestintäverkkoja, tietojärjestelmiä ja niiden fyysistä ympäristöä mahdollisilta poikkeamilta ja niiden vaikutuksilta. Riskienhallintamallin mukaiset toimenpiteet voivat olla teknisiä, operatiivisia tai organisatorisia, ja niiden tarkoituksena on ehkäistä ja minimoida turvallisuusriskit.
NIS2-direktiivi määrittelee kymmenen keskeistä osa-aluetta, jotka on huomioitava riskienhallinnassa, kuten poikkeamien käsittely, toiminnan jatkuvuuden hallinta, toimitusketjun turvallisuus ja kyberturvallisuuskoulutus. Riskienhallinnan toimenpiteiden on oltava suhteutettuja toiminnan laatuun, laajuuteen ja mahdollisiin vaikutuksiin.
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus valmistelee parhaillaan suositusta riskienhallinnan toimenpiteiksi, ja se julkaistaan lainsäädännön hyväksymisen jälkeen. Tämä suositus auttaa organisaatioita parantamaan kyberturvallisuuttaan, vaikka ne eivät kuuluisikaan NIS-sääntelyn piiriin.
Miksi tämä on tärkeää sinun yrityksellesi?
NIS2-direktiivin vaatimusten täyttäminen ei ole vain säädösten noudattamista. Se turvaa myös yrityksesi toimintaa. Vahva kyberturvallisuus on kriittinen osa liiketoimintasi jatkuvuutta ja luotettavuutta. Kyberturvallisuuteen investointi ja siitä viestintä lisää myös asiakkaidesi luottamusta ja parantaa yrityksesi kilpailukykyä.
👉 Tutustu lisää aiheeseen Kyberturvallisuuskeskuksen sivuilta: NIS2 – Euroopan unionin kyberturvallisuusdirektiivi