NIS2-direktiivi: Valmistaudu uuteen kyberturvallisuuden aikakauteen

Euroopan unioni on ottamassa käyttöön NIS2-direktiivin, joka tuo mukanaan merkittäviä muutoksia kyberturvallisuuden alueella. Direktiivi korvaa aiemman NIS-direktiivin ja pyrkii varmistamaan yhtenäisen kyberturvallisuuden tason kaikissa jäsenvaltioissa.

Direktiivin voimaantulo on 17.10.2024, ja sen soveltaminen alkaa 18. lokakuuta.

Keitä NIS2-direktiivi koskee?

NIS2-direktiivin soveltamisala on laajentunut huomattavasti verrattuna alkuperäiseen NIS-direktiiviin. Se koskee useita eri toimialoja:

• Keskeiset alat: Energia, kuljetus, pankkitoiminta, rahoitusmarkkinoiden infrastruktuuri, terveysala, juomavesi, jätevesi, digitaalinen infrastruktuuri, IT-palveluiden hallinta, julkishallinto ja avaruus.
  
• Tärkeät alat: Posti- ja kuriiripalvelut, jätehuolto, kemikaalit, ruoka, lääkinnällisten laitteiden valmistus, digitaaliset palveluntarjoajat ja tutkimusorganisaatiot. 

Direktiivi koskee myös erikokoisia yrityksiä, ja vaatimusten laajuus sovelletaan kullekin yritykselle riskianalyysin perusteella. Tämä tarkoittaa, että toimenpiteet eivät ole kaikilta osin identtisiä suurille yrityksille ja pienemmille alihankkijoille. Kannattaa tutustua oman toimialan vaatimuksiin.

Konkreettisia toimenpiteitä NIS2-direktiivin noudattamiseksi

Jotta yritykset ovat valmiita, kun NIS2-direktiivi astuu voimaan, niiden on toteutettava seuraavat toimenpiteet:

1. Riskienhallintapolitiikat: Kehittäkää ja toteuttakaa kattavia riskienhallintapolitiikkoja, jotka kattavat sekä fyysiset että digitaaliset infrastruktuurit.
2. Turvallisuusauditointi: Suorittakaa säännöllisiä turvallisuusauditointeja ja arviointeja, jotta varmistetaan turvallisuusprotokollien ajantasaisuus ja tehokkuus.
3. Ilmoitusvelvollisuus: Ilmoittakaa merkittävistä kyberturvallisuuspoikkeamista Traficomille 24 tunnin sisällä ensi-ilmoituksena ja toimittakaa tarkempi raportti 72 tunnin kuluessa. NIS2-direktiivin alaisten yritysten tulee oma-aloitteisesti ilmoittautua Traficomille.
4. Jatkuvuussuunnittelu: Laatikaa ja testatkaa jatkuvuussuunnitelmia, jotka varmistavat toiminnan jatkumisen kyberturvallisuusuhkien ilmetessä.
5. Koulutus ja tietoisuuden lisääminen: Kouluttakaa henkilöstöä kyberturvallisuuden parhaista käytännöistä ja varmistakaa, että kaikki työntekijät ymmärtävät potentiaaliset uhat ja osaavat toimia niiden ehkäisemiseksi.
6. Teknisten turvatoimien toteuttaminen: Asentakaa ja ylläpitäkää palomuureja, tietoturvaohjelmistoja ja muita turvateknologioita.
7. Viestintäverkkojen ja tietojärjestelmien suojaaminen: Suojatkaa kriittiset järjestelmänne ja verkostonne asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä.
8. Yhteistyö viranomaisten kanssa: Tehkää yhteistyötä etenkin kansallisten viranomaisten kanssa parhaiden käytäntöjen jakamiseksi ja kyberturvallisuusuhkien torjumiseksi.

Toimitusketjun turvallisuus

NIS2-direktiivissä toimitusketjujen turvallisuus on otettu tarkasti huomioon. Mikäli yrityksesi on velvoitettu noudattamaan NIS2-direktiiviä, tulee sinun varmistua myös toimittajiesi ja alihankkijoidesi toiminnasta. 

Tässä keskeisiä vaatimuksia, jotka koskevat toimitusketjuja NIS2-direktiivin mukaan:

• Toimitusketjun hallintavelvoite: Direktiivissä toimitusketjun hallintavelvoite ulottuu toimijan välittömiin toimittajiin ja palveluntarjoajiin. Tämä tarkoittaa, että organisaatioiden on varmistettava, että niiden toimittajat ja alihankkijat noudattavat kyberturvallisuuden standardeja.
• Hankintojen turvallisuus: Hankintojen osalta NIS2 korostaa tuotteen tai palvelun kyberturvallisuuden huomioimista koko sen elinkaaren ajan. Tämä sisältää turvallisuuden huomioimisen kilpailutusvaiheesta aina tuotteen tai palvelun käytöstä poistamiseen saakka.
• Riskienhallinta: Toimitusketjuhyökkäykset ovat yleistyneet, ja niiden hallitsemiseksi direktiivissä esitetään hankintojen ja toimitusketjujen turvallisuutta koskevia velvoitteita. Organisaatioiden on arvioitava säännöllisesti toimitusketjun aiheuttamaa riskiä ja hankinnan turvallisuutta, erityisesti muutosten yhteydessä.
• Turvallisuuspäivitykset ja jatkuvuuden hallinta: Sopimuksissa toimittajien kanssa voidaan sopia tuotteen, ohjelmiston tai palvelun turvallisuuden ajan tasalla pitämisestä, turvallisuuspäivityksistä, jatkuvuuden hallinnasta ja varmuuskopioinneista.
• Sertifiointi ja standardien noudattaminen: Sopimuksin voidaan myös sopia parhaiden käytänteiden tai standardien noudattamisesta sekä sertifioinnista, mikä voi antaa lisävarmuutta ja läpinäkyvyyttä turvallisuuden toteuttamiseen.

Suomen valmistautuminen NIS2-direktiiviin

Suomessa on käynnissä työryhmän toimesta NIS2-direktiivin velvoitteiden saattaminen osaksi kansallista lainsäädäntöä. Kyberturvallisuuskeskus kehittää NIS2-ilmoitussovellusta, jonka avulla direktiivin soveltamisalaan kuuluvat toimijat voivat ilmoittaa palveluihinsa kohdistuvista merkittävistä poikkeamista.

NIS2-direktiivi edustaa merkittävää askelta eteenpäin EU:n kyberturvallisuudessa, ja sen vaikutukset tulevat olemaan laajalti tuntuvia. On tärkeää, että organisaatiot pysyvät ajan tasalla direktiivin kehityksestä ja varmistavat, että ne ovat valmiita vastaamaan sen asettamiin haasteisiin.

Kuuntele myös #Pilvessä -podcastin jakso aiheesta:

Kuuntele muita #Pilvessä -podcastin jaksoja täältä.