Digitaalinen uhka ympäröi nykyään kaikkia organisaatioita monelta suunnalta, ja siksi kyberturvallisuus ja sen toteuttaminen on noussut keskeiseksi teemaksi koko yhteiskunnassa. Tätä monipuolistuvaa haastetta vastaan on säädetty uusi NIS 2 -kyberturvallisuusdirektiivi, jolla on vaikutuksia monen yrityksen arkeen.
NIS 2 -direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa.
NIS 2 tuo vaatimuksia organisaation toiminnalle ja se koskee jos:
- yrityksesi on keskisuuri ja toimii kriittisellä toimialalla tai
- koosta riippumatta organisaatiosi on kansallisesti kriittinen toimija.
Keskisuuret toimijat ovat yrityksiä, jonka palveluksessa on 50–249 työntekijää tai vuosiliikevaihto ja taseen loppusumma ylittävät 10 miljoonaa euroa.
NIS 2 -direktiivi ulottuu myös pienempiin yrityksiin, jos ne toimivat alihankintaketjussa NIS 2 -velvoitteiden alle kuuluvien yritysten kanssa.
Aiheesta lisää Traficomin sivuilta >>
Suomen osalta NIS 2 -direktiivi on saatettava voimaan 18.10.2024 alkaen. Kansallinen täytäntöönpano on hiukan viipynyt ja sen odotetaan astuvan voimaan huhtikussa 2025.
NIS 2 -direktiivin mukaiset soveltamisalat
Erittäin kriittiset toimialat:
- Energia
- Liikenne
- Pankkitoiminta
- Finanssimarkkinoiden infrastruktuurit
- Terveys
- Vesi (Juoma/Jäte)
- Digitaalinen infrastruktuuri
- TVT-palvelujen hallinta (tieto- ja viestintätekniikka)
- Julkishallinto
- Avaruus
Muut kriittiset toimialat:
- Posti- ja kuriiripalvelut
- Jätehuolto
- Kemikaalien valmistus, tuotanto ja jakelu
- Elintarvikkeiden tuotanto, jalostus ja jakelu
- Valmistus (mm. lääkinnälliset ja sähkölaitteet, ajoneuvot yms.)
- Digitaalisen palvelun tarjoajat
- Tutkimustoiminta
Mitä NIS2 direktiivin vaatimukset ovat käytännössä?
Artikla 21 – Kyberturvallisuusriskien hallintatoimenpiteet
- Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;
- Poikkeamien käsittely;
- Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta;
- Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;
- Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen;
- Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta;
- Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus;
- Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä;
- Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta;
- Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa.
D-Fence Easy GDPR -palvelun NIS 2 -osion avulla organisaatio hallitsee ja pystyy osoittamaan, että se vastaa NIS 2 -vaatimuksiin
Johdon vastuu ja sanktiot
Organisaation johto vastaa kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä, hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.
Johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa, toimitusjohtajaa, tai muussa niihin rinnastettavassa asemassa olevaa, sekä toimitusjohtajan välittömään alaisuuteen kuuluvissa tehtävissä, jotka ovat toimijan ylimpiä johtotehtäviä tai joissa tosiasiallisesti johdetaan sen toimintaa, toimivaa tahoa. Käytännössä siis myös yrityksen tietohallintojohtaja voi olla vastuussa lain velvoitteiden noudattamisesta.
Sanktiot
NIS2 tuo mukanaan johdon vastuun lisäksi GDPR:stä tutut hallinnolliset seuraamusmaksut eli sakot. Seuraamusmaksu voidaan määrätä yritykselle, joka tahallaan tai törkeästä huolimattomuudesta laiminlyö esimerkiksi riskienhallintavelvoitteen noudattamisen, kyberturvallisuuden riskienhallinnan toimintamallin laatimisen tai laissa edellytettyjen turvallisuustoimenpiteiden tekemisen.
Hallinnollisen seuraamusmaksun määrä perustuu kokonaisarviointiin, jossa otetaan huomioon tapauksen olosuhteet sekä esimerkiksi rikkomisen vakavuus ja rikottujen säännösten tärkeys siten, että rikkomisen vakavuutta osoittaa
- a) väärinkäytösten toistuvuus
- b) merkittävien poikkeamien jättäminen ilmoittamatta tai korjaamatta
- c) havaittujen puutteiden jättäminen korjaamatta valvovan viranomaisen päätöksistä, huomautuksista tai varoituksista huolimatta
- d) valvovan viranomaisen tarkastuksen estäminen tai määrätyn auditoinnin teettämättä jättäminen
- e) riskienhallinnasta tai merkittävistä poikkeamista viranomaiselle liittyvien väärien tai harhaanjohtavien tietojen antaminen.
Lisäksi esimerkiksi rikkomuksen kesto, aiemmat vastaavat rikkomukset ja aiheutunut vahinko vaikuttavat arviointiin.
Seuraamusmaksun laskentaperiaate
Hallinnollisen seuraamusmaksun enimmäismäärä keskeiselle toimijalle on 10 000 000 euroa tai 2 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Hallinnollisen seuraamusmaksun enimmäismäärä muulle kuin keskeiselle toimijalle on 7 000 000 euroa tai 1,4 prosenttia toimijan edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Kuten GDPR:ssä, myös NIS 2 -vaatimusten suhteen on ennakointi onnistumisen ytimessä.
Easy GDPR -palvelun NIS 2 -osion hyödyt
