Mikä on NIS2-direktiivi?
Uusi NIS2-direktiivi korvasi voimassa olevan NIS-direktiivin vuonna 2022. NIS2-direktiivissä (Network and Information Security Directive, suomeksi verkko- ja tietoturvadirektiivi) asetetaan velvoitteita tietoturvallisuuden ylläpitämisestä ja kehittämisestä keskeisille digitaalisia palveluita tarjoaville tahoille ja yrityksille. Direktiivin tavoitteena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella ja kasvattaa kyberturvallisuuden suojauksen tasoa verkko- ja tietoturvaloukkauksia sekä erilaisia tietoturvariskejä ja -uhkia vastaan.
NIS2 vahvistaa riskien ja poikkeamien hallintaa ja yhteistyötä eri osapuolten välillä. NIS2-direktiivi myös laajentaa sääntöjen soveltamisalaa.
NIS2-direktiivin soveltaminen alkaa 18.10.2024
Määräaika NIS2-direktiivin saattamiseksi osaksi kansallista lainsäädäntöä on 17.10.2024 mennessä. NIS2-direktiivin soveltaminen alkaa 18.10.2024.
NIS2-direktiiviin reagoiminen auttaa valmistautumaan paremmin tuleviin tietoturva- ja tietoverkkouhkiin sekä varmistamaan, että organisaatiosi on valmis vastaamaan tuleviin haasteisiin tehokkaasti ja koordinoidusti.
Vaatimusten täyttymisen varmistamiseksi ja kansallisesti säänneltyjen seuraamusten välttämiseksi suosittelemme riippumattoman arvioinnin suorittamista etukäteen, jotta mahdolliset korjaus- ja seurantatoimenpiteet voidaan toteuttaa ajoissa.
Ketä NIS2-direktiivi koskee?
NIS2-direktiivi vaikuttaa erityisesti toimialoihin, jotka tarjoavat kriittisiä tai olennaisia palveluita yhteiskunnalle. NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin, joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan.
NIS2-direktiivin kriittiset toimialat
Energia
Liikenne
Pankkitoiminta ja finanssimarkkinoiden infrastruktuuri
Juoma- ja jätevesi
Tieto- ja viestintätekniikan (TVT) palveluiden hallinta
Avaruus
Digitaalinen infrastruktuuri
Terveys
Julkishallinto
NIS2-direktiivin muut kriittiset alat
Posti- ja kuriiripalvelut
Jätehuolto
Kemikaalisektori
Elintarvikeala
Valmistava teollisuus
Digitaalisten palveluiden tarjoajat
Tutkimustoiminta
Mitä vaatimuksia NIS2-direktiivi asettaa?
Kriittisillä aloilla toimivien ja erityisesti digitaalisten palvelujen tarjoajien on sitouduttava NIS2-direktiivin asettamiin kattaviin verkko- ja tietoturvariskien hallintaan liittyviin vaatimuksiin. Organisaatioiden on raportoitava mahdolliset toteutuneet turvallisuuspoikkeamat kansallisille viranomaisille.
Keskeiset NIS2-direktiivin vaatimukset:
- Hallinnollinen tietoturvallisuus: organisaation ja yhteiskunnan näkökulmasta kriittiset toiminnot kattava tietoturvallisuuden hallintamalli
- Säännöllinen riskienhallintaprosessi tietoturvatyön lähtökohtana
- Riittävä teknisen turvallisuuden taso ja sen mukaisesti toteutetut toimenpiteet
Tietoturvatoimenpiteiden tarkoituksena on, että organisaatiossa pystytään toteuttamaan tietoturvariskeihin suhteutettu riittävä verkko- ja tietojärjestelmien turvallisuuden taso, huomioiden muun muassa uudet teknologiat.
Tietoturvatoimenpiteet koskettavat muun muassa seuraavia osa-alueita:
- Järjestelmien ja tilojen turvallisuus
- Poikkeamien käsittely ja raportointi
- Liiketoiminnan jatkuvuuden hallinta
- Seuranta, tarkastuksen ja testaukset
- Kansainvälisten standardien noudattaminen
- Tietoturvakäytännöt ja prosessit
- Hallinto- ja tekninen dokumentaatio
Viranomaisen edellyttämät toimet
Jäsenvaltion toimivaltaiset viranomaiset voivat edellyttää:
- Antamaan tietoja, jotka ovat tarpeen tietojärjestelmien ja –verkkojen turvallisuuden arvioimiseksi, esim. dokumentoidut turvallisuuspolitiikat
- Antamaan näyttöä turvallisuuspolitiikkojen tehokkaasta täytäntöönpanosta, esim. turvallisuusauditoinnin tulokset (toimivaltainen viranomainen / pätevä auditoija)
Tulosten perusteella toimivaltainen viranomainen voi antaa sitovia ohjeistuksia käytäntöjen korjaamiseksi.
Kuinka voimme auttaa?
Autamme arvioimaan organisaatiosi valmiudet ISO 27001-standardiin pohjautuvan nykytilakartoituksen kautta, jossa huomioidaan NIS2-direktiivin asettamat vaatimukset.
Voimme antaa myös yleistason neuvontaa ja tulkinta-apua standardin vaatimuksista tietoturvallisuuden edelleen kehittämiseksi vaatimuksenmukaiselle tasolle. Tämä auttaa edistämään hyvää tietoturvallisuuden hallintaa ja ylläpitoa organisaatiossa.
Ota yhteyttä asiantuntijoihimme saadaksesi lisätietoja arvioinnista ja tietoturvallisuuden kehittämisestä.
Lue lisää tietoturvapalveluistamme ja siitä, kuinka voimme tukea tietoturvallisuuden kehittämisessä.
Asiantuntijamme tukenasi
Mika Iivari
Cyber Advisory
KPMG Suomi
Ota yhteyttä
- Etsi toimipisteet kpmg.findOfficeLocations
- kpmg.emailUs
- Social Media @ KPMG kpmg.socialMedia