Kun yhteiskuntamme digitalisoituu ja tulee yhä enemmän verkkoon kytketyksi, kyberhyökkäysten ja muiden turvallisuusuhkien riski yrityksille ja viranomaisille kasvaa. Näiden haasteiden kohtaamiseksi ja digitaalisen turvallisuuden vahvistamiseksi EU on päättänyt tiukentaa aikaisempaa NIS1-direktiiviä, jonka tavoitteena on vahvistaa kriittisen infrastruktuurin ja yhteiskunnan kannalta tärkeiden palvelujen turvallisuutta . 

 

Mikä on NIS2 ja miksi se on otettu käyttöön?

 

NIS2 (Network and Information Security) on jatkokehitys NIS1:stä, ensimmäisestä EU-direktiivistä, joka tuli voimaan 2018 parantaakseen kyberturvallisuutta, suojellakseen arkaluonteisia tietoja ja infrastruktuuria yhteiskunnan kannalta tärkeillä aloilla. NIS2:n myötä EU on laajentanut direktiivin kattavuutta ja asettanut korkeampia vaatimuksia kyberhyökkäysten ja tietomurtojen riskien kohtaamiseksi. Varmistamalla vahvan kyberturvallisuuden NIS2 edistää digitaalisen ekosysteemin vakautta, luotettavuutta ja luottamusta, mikä on välttämätöntä viranomaisille ja yksityiselle sektorille.

 

On tärkeää ymmärtää, että NIS2 ei ole tuotteiden sertifiointi – se on lainsäädäntö, joka kohdistuu yrityksiin. Tämä tarkoittaa, että oikean tekniikan hankkiminen ei riitä; koko organisaation on työskenneltävä systemaattisesti ja strategisesti turvallisuuden parissa. NIS2:n tarkoituksena on luoda turvallisuuskulttuuri, joka kattaa  koko organisaation, johdosta yksittäisiin työntekijöihin.

 

”Toivotamme tervetulleiksi vaatimukset, jotka keskittyvät hyvän kyberturvallisuuden luomiseen koko organisaatiossa aina tekniikasta ja työtavoista raportointiin ja seurantaan. Odotamme tämän nostavan digitaalisen turvallisuuden vähimmäistasoa yhteiskunnassa ja että sekä yritykset että viranomaiset ovat näin hyvin valmistautuneita tulevaisuuteen”, sanoo Antonia Cruz Olsson , IT-johtaja, RCO Group.

 

Ketkä kuuluvat NIS2-direktiivin piiriin?

 

EU haluaa, että NIS2-direktiivi koskee useampia organisaatioita kuin edeltäjänsä ja se kohdistuu sekä yksityisiin että julkisiin toimijoihin, jotka tarjoavat yhteiskunnan kannalta tärkeitä palveluja. Tämä kattaa yritykset aloilla kuten energia, liikenne, terveyden- ja sairaanhoito, rahoitus, digitaalinen infrastruktuuri sekä julkiset viranomaiset. NIS2 laajentaa myös digitaalisten palvelujen toimittajien ja tiettyjen valmistusteollisuuksien kattavuutta.

 

NIS1:stä NIS2:een: Tärkeimmät muutokset

1.    Laajempi kattavuus ja useammat alat: NIS1 kattoi rajoitetun määrän yhteiskunnan kannalta tärkeitä aloja, kuten energia, liikenne ja terveyden- ja sairaanhoito. NIS2 laajentaa tätä kattamaan useampia aloja, mukaan lukien valmistus, digitaaliset palvelut ja toimitusketjut.

2.    Tiukemmat turvallisuusvaatimukset: NIS2 asettaa korkeampia vaatimuksia yrityksille varmistaakseen verkkojensa ja tietojärjestelmiensä suojan. Tämä sisältää paitsi tekniset toimenpiteet, myös selkeät riskienhallinnan ja tapahtumailmoitusten menettelytavat. Kaikkien organisaation tasojen on oltava mukana turvallisuustyössä.

 

3.    Johtamisen vastuu: NIS2 korostaa, että kyberturvallisuus on johdon vastuulla. Se ei ole enää pelkästään IT-osaston kysymys vaan strateginen liiketoimintakysymys, johon johdon on sitouduttava. Yrityksen johdolta vaaditaan nyt tietoa ja vastuuta turvallisuustoimenpiteistä, mikä on merkittävä ero NIS1:stä.

 

4.    Tapahtumailmoitukset: NIS2:n keskeinen osa on laajennettu ilmoitusvelvollisuus turvallisuuspoikkeamista. Yritysten on raportoitava tapahtumat, jotka vaikuttavat järjestelmiensä käytettävyyteen tai turvallisuuteen tiettyjen aikarajojen puitteissa, mikä edellyttää selkeitä prosesseja tapahtumien hallintaan.

 

5.    Toimitusketjun turvallisuus: Direktiivi asettaa myös vaatimuksia koko toimitusketjun turvallisuudelle. Tämä tarkoittaa, että yritysten on varmistettava oman toimintansa lisäksi, että heidän toimittajansa ja kumppaninsa täyttävät korkeat turvallisuusstandardit.

 

NIS2-direktiivin noudattamatta jättämisen seuraukset

 

Sen lisäksi, että organisaatio altistaa itsensä suuremmalle riskille tietomurroista ja kyberhyökkäyksistä ja niiden seurauksista, NIS2:n noudattamatta jättämisen vaikutukset ovat sekä oikeudellisia että taloudellisia. Sakkojen suuruus määräytyy rikkomuksen vakavuuden ja yrityksen koon mukaan.

 

Mitä organisaatioiden on tehtävä jo nyt?

Valmistautuakseen NIS2-direktiiviin yritysten on toimittava ennakoivasti jo nyt. Ensinnäkin on tärkeää selvittää, kuuluuko toiminta suoraan tai epäsuorasti direktiivin tai kyberturvallisuuslain piiriin tunnistamalla, toimiiko se mainituilla aloilla ja täyttääkö muut kriteerit. Jos yritys kuuluu direktiivin piiriin, sen on analysoitava NIS2:n asettamat vaatimukset ja luotava toimintasuunnitelma mahdollisten puutteiden korjaamiseksi turvallisuuskäytännöissä ja -järjestelmissä. Lisäksi on asetettava selkeät vaatimukset sekä uusille että nykyisille toimittajille, jotta koko toimitusketju täyttää direktiivin turvallisuusvaatimukset. Valmistautumalla ajoissa yritykset voivat välttää mahdolliset sanktiot ja minimoida turvallisuusriskit yhä digitalisoituvassa maailmassa.

 

Yhteenveto

 

NIS2 edustaa muutosta siinä, miten yritysten on työskenneltävä turvallisuuden parissa. Se ei ole tuotteiden sertifiointi vaan lainsäädäntö, joka vaikuttaa koko organisaatioon ja vaatii kokonaisvaltaista näkökulmaa turvallisuuskysymyksiin. RCO Securitylle ja asiakkaillemme tämä tarkoittaa, että turvallisuuden on oltava integroitu kaikkeen toimintaamme, tuotekehityksestä päivittäisiin rutiineihin ja prosesseihin.