NIS2-direktiivi

Uusi NIS2-direktiivi korvasi voimassa olevan NIS-direktiivin vuonna 2022. NIS2-direktiivissä (Network and Information Security Directive, suomeksi verkko- ja tietoturvadirektiivi) asetetaan velvoitteita tietoturvallisuuden ylläpitämisestä ja kehittämisestä keskeisille digitaalisia palveluita tarjoaville tahoille ja yrityksille. Direktiivin tavoitteena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella ja kasvattaa kyberturvallisuuden suojauksen tasoa verkko- ja tietoturvaloukkauksia sekä erilaisia tietoturvariskejä ja -uhkia vastaan.

NIS2 vahvistaa riskien ja poikkeamien hallintaa ja yhteistyötä eri osapuolten välillä. NIS2-direktiivi myös laajentaa sääntöjen soveltamisalaa.

Määräaika NIS2-direktiivin saattamiseksi osaksi kansallista lainsäädäntöä on 17.10.2024 mennessä. NIS2-direktiivin soveltaminen alkaa 18.10.2024.

NIS2-direktiiviin reagoiminen auttaa valmistautumaan paremmin tuleviin tietoturva- ja tietoverkkouhkiin sekä varmistamaan, että organisaatiosi on valmis vastaamaan tuleviin haasteisiin tehokkaasti ja koordinoidusti.

Vaatimusten täyttymisen varmistamiseksi ja kansallisesti säänneltyjen seuraamusten välttämiseksi suosittelemme riippumattoman arvioinnin suorittamista etukäteen, jotta mahdolliset korjaus- ja seurantatoimenpiteet voidaan toteuttaa ajoissa.

NIS2-direktiivi vaikuttaa erityisesti toimialoihin, jotka tarjoavat kriittisiä tai olennaisia palveluita yhteiskunnalle. NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin,  joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan.  

Kriittisillä aloilla toimivien ja erityisesti digitaalisten palvelujen tarjoajien on sitouduttava NIS2-direktiivin asettamiin kattaviin verkko- ja tietoturvariskien hallintaan liittyviin vaatimuksiin. Organisaatioiden on raportoitava mahdolliset toteutuneet turvallisuuspoikkeamat kansallisille viranomaisille.

Keskeiset NIS2-direktiivin vaatimukset:

• Hallinnollinen tietoturvallisuus: organisaation ja yhteiskunnan näkökulmasta kriittiset toiminnot kattava tietoturvallisuuden hallintamalli
• Säännöllinen riskienhallintaprosessi tietoturvatyön lähtökohtana
• Riittävä teknisen turvallisuuden taso ja sen mukaisesti toteutetut toimenpiteet

Tietoturvatoimenpiteiden tarkoituksena on, että organisaatiossa pystytään toteuttamaan tietoturvariskeihin suhteutettu riittävä verkko- ja tietojärjestelmien turvallisuuden taso, huomioiden muun muassa uudet teknologiat.

Tietoturvatoimenpiteet koskettavat muun muassa seuraavia osa-alueita:

• Järjestelmien ja tilojen turvallisuus
• Poikkeamien käsittely ja raportointi
• Liiketoiminnan jatkuvuuden hallinta
• Seuranta, tarkastuksen ja testaukset
• Kansainvälisten standardien noudattaminen
• Tietoturvakäytännöt ja prosessit
• Hallinto- ja tekninen dokumentaatio

Jäsenvaltion toimivaltaiset viranomaiset voivat edellyttää:

• Antamaan tietoja, jotka ovat tarpeen tietojärjestelmien ja –verkkojen turvallisuuden arvioimiseksi, esim. dokumentoidut turvallisuuspolitiikat
• Antamaan näyttöä turvallisuuspolitiikkojen tehokkaasta täytäntöönpanosta, esim. turvallisuusauditoinnin tulokset (toimivaltainen viranomainen / pätevä auditoija)

Tulosten perusteella toimivaltainen viranomainen voi antaa sitovia ohjeistuksia käytäntöjen korjaamiseksi.

Autamme arvioimaan organisaatiosi valmiudet ISO 27001-standardiin pohjautuvan nykytilakartoituksen kautta, jossa huomioidaan NIS2-direktiivin asettamat vaatimukset.

Voimme antaa myös yleistason neuvontaa ja tulkinta-apua standardin vaatimuksista tietoturvallisuuden edelleen kehittämiseksi vaatimuksenmukaiselle tasolle. Tämä auttaa edistämään hyvää tietoturvallisuuden hallintaa ja ylläpitoa organisaatiossa.

Ota yhteyttä asiantuntijoihimme saadaksesi lisätietoja arvioinnista ja tietoturvallisuuden kehittämisestä.

Lue lisää tietoturvapalveluistamme ja siitä, kuinka voimme tukea tietoturvallisuuden kehittämisessä.