Mikä on NIS2?

NIS2-direktiivi (The Network and Information Systems Directive 2) on EU:n uusi tietoturvalainsäädäntö, jonka tarkoituksena on vahvistaa ja yhdenmukaistaa jäsenvaltioiden ja EU:n yhteistä kyberturvallisuustasoa tietyillä yhteiskunnan sektoreilla.

Alkuperäinen NIS-direktiivi (2016) oli ensimmäinen koko EU:n laajuinen tietoturvalainsäädäntö. Direktiivi ei ollut kaikilta osin onnistunut esimerkiksi valvonta tapahtui eri tasoisesti, määritelmät epäselviä, soveltamisalat suppeita, tietoturvan lähtötaso erosi merkittävästi eri maiden välillä ja erot raportointivaatimuksissa 

 

NIS2 tiivistettynä 

Direktiivissä asetaan vaatimuksia/ velvoitteita organisaation tietoturvalle, joiden saavuttaminen vastuutetaan ylimmälle johdolle. Direktiivi koskee tiettyjä toimialoja, mitkä on jaoteltu keskeisiin ja tärkeisiin toimialoihin. Keskeisiin toimialoihin kuuluu energia, liikenne, pankki, terveys, vesi, IT-infra, ICT-palvelut, julkishallinto ja avaruus. Tärkeisiin toimialoihin lasketaan posti, jätehuolto, kemikaalit, ruoka, valmistava teollisuus, digipalvelut ja tutkimus. Jos näillä toimialoilla toimivan yrityksen vuosittainen liikevaihto on 7M€ ja henkilöstön lukumäärä 50, kuuluu yritys NIS2-direktiivin piiriin. Otathan huomioon kuitenkin, että vaikka yrityksen ei suoraan tarvitse vastata vaateisiin, vaade NIS2-direktiivin vaatimusten täyttämisestä voi syntyä toimitusketjun muiden yrityksien kautta.

Direktiivissä on määritelty mm.

  • Tarkemmat riskienhallintavelvoitteet, joiden tavoitteena on estää tai minimoida poikkeamien vaikutus palvelujen vastaanottajiin ja muihin palveluihin. 
  • Kolmiportainen raportointivelvoite merkittävistä kyberpoikkeamista (Ensi-ilmoitus 24h kuluessa, jatkoilmoitus 72h kuluessa, mahdollinen väliraportti ja loppuraportti 1kk kuluessa) 
  • Seuraamukset riskienhallintavelvoitteiden laiminlyönnistä 
  • Haavoittuvuuksien tunnistaminen ja varautuminen laajamittaisten kyberhäiriöiden varalle 

 

Velvoitteet / vaateet

Alla on luelteltu keskeisimmät direktiivin velvoitteet.

  • Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat 
  • Poikkeamien käsittely (monitorointi-/hälytysjärjestelmät)
  • Toiminnan jatkuvuuden hallinta (esim. varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta) 
  • Toimitusketjun turvallisuus, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat 
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuus, mukaan lukien haavoittuvuuksien käsittely ja julkistaminen 
  • Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta (säännöllinen ja tehokas arviointi, priorisointi)
  • Perustason kyberhygieniakäytännöt ja kyberturvallisuuskoulutus 
  • Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä (yleislinjaus esim. kaikki arkaluontoinen tieto tulee salata x-menetelmällä)
  • Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta (mm. turvallisuusselvitykset, rajoitetut oikeudet, laitteistolistaukset)
  • Tarvittaessa monivaiheisen todennuksen tai jatkuvan todennuksen ratkaisujen, suojatun puhe-, video- ja tekstiviestinnän sekä suojattujen hätäviestintäjärjestelmien käyttö toimijan toiminnassa. 

 

Direktiivi tulee voimaan 10/2024

Valmistautuminen on hyvä aloittaa tarkistamalla nykyiset käytänteet ja jo tehdyt toimenpiteet, jonka jälkeen jatketaan nykyisen tietoturvasuunnitelman täydentämisellä tai jos tietoturvasuunnitelmaa ei ole vielä olemassa, sen luomisella. 

Miten vastaisit näihin kysymyksiin?

  • Miten tunnuksien hallinta on toteutettu?
  • Miten oikeuksia annetaan? Miten ne on määritelty?
  • Miten tieto on luokiteltu? Entäpä suojattu?
  • Miten lokitus on hoidettu?
  • Miten häiriötilanteissa menetellään? 
  • Miten hyökkäyksiä vastaan suojaudutaan? Miten hyökkäyksen jälkeen toimitaan?
  • Onko laitteistot listattu? Mikä yrityksen omaisuus on kriittisintä?
  • Onko tietoturvapolitiikka dokumentoitu?
  • Onko ohjeistus ajan tasalla?
  • Miten työntekijöiden tietoturvakoulutus on toteutettu? 

 

Lähteet:

Valtioneuvosto, Kyberturvallisuusdirektiivin (NIS2-direktiivi) kansallista toimeenpanoa tukeva työryhmä (hanke) https://valtioneuvosto.fi/hanke?tunnus=LVM044%3A00/2022  

Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555 https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0080.01.FIN&toc=OJ%3AL%3A2022%3A333%3AFULL