Kyberuhkien kasvaessa EU on ottanut käyttöön NIS2-direktiivin, jonka tarkoituksena on parantaa kriittisten toimijoiden valmiutta torjua ja hallita kyberuhkia sekä parantaa kyberturvatietoisuutta ja varautumista. NIS2-direktiivin mukaiset kyberturvallisuusvelvoitteet tulevat osaksi Suomen kansallista lainsäädäntöä ja liitetään uuteen kyberturvallisuuslakiin. Direktiivin tavoitteena on vahvistaa erityisesti elintärkeiden palveluiden ja kriittisten toimialojen kyberturvallisuutta.
NIS2:n myötä yhä useammat yritykset ja organisaatiot joutuvat varmistamaan, että tietoturvakäytännöt ovat ajan tasalla ja täyttävät direktiivin tuomat vaatimukset. Aiemmin NIS-sääntelyä ei välttämättä sovellettu pk-yrityksiin tai sektoreihin, mutta nyt mukaan tulevat myös pienemmät toimijat, mikä laajentaa sääntelyn koskemaa kenttää huomattavasti.
Mitä yrityksiä ja toimialoja NIS2-direktiivi koskee?
NIS2-direktiivi koskee automaattisesti kaikkia kriittisillä toimialoilla toimivia yrityksiä, joilla on yli 50 työntekijää tai yli 10 miljoonan euron liikevaihto. Lisäksi se kattaa kansallisesti kriittiseksi määritellyt toimijat koosta riippumatta.
Direktiivi jakaa velvoitteiden piiriin kuuluvat kriittiset toimijat kahteen kategoriaan: keskeiset toimijat ja tärkeät toimijat. Molemmat ryhmät ovat velvollisia noudattamaan kyberturvallisuutta koskevia vähimmäisvaatimuksia ja raportoimaan kyberturvallisuusuhkista ja -häiriöistä.
NIS2 - Keskeiset toimijat
Keskeiset toimijat ovat organisaatioita, jotka tarjoavat kriittisiä palveluita ja joiden toiminnalla on suuri merkitys yhteiskunnalle. Näiden organisaatioiden palvelut ovat elintärkeitä, ja niiden toiminnan häiriöt tai keskeytykset voivat aiheuttaa vakavaa vahinkoa. Erittäin kriittisiä toimialoja ovat:
Energia
Liikenne
Pankkiala
Finanssimarkkinoiden infrastruktuurit
Julkishallinto
Terveydenhuolto
Avaruus
Juoma- ja jätevesi
Digitaalinen infrastruktuuri
NIS2 - Tärkeät toimijat
Tärkeät toimijat ovat organisaatioita, jotka eivät ole elintärkeitä samalla tavalla kuin keskeiset toimijat, mutta joilla on silti merkittävä rooli ja jotka voivat vaikuttaa turvallisuuteen tai yhteiskunnan toimivuuteen. Näitä toimialoja ovat:
Posti- ja kuriiripalvelut
Jätehuolto
Kemianteollisuus
Tutkimustoiminta
Elintarvikeala ja ruuantuotanto
Valmistava teollisuus
Digitaalisen palvelun tarjoajat
Voit ladata selkeän PDF-taulukon kriittisten toimialojen kuvauksista kyberturvallisuuskeskuksen nettisivuilta.
Mitkä ovat NIS2:n keskeiset vaatimukset yrityksille?
NIS2 tuo mukaan joukon keskeisiä vaatimuksia kriittisillä toimialoilla toimiville yrityksille. Näitä ovat muun muassa:
Riskienhallinta
Yrityksen on kartoitettava kyberriskit ja ryhdyttävä toimenpiteisiin niiden ehkäisemiseksi. Näihin kuuluvat muun muassa toimitilaturvallisuus, turvallisuuspoikkeamien havaitseminen ja hallinta, verkko- ja tietojärjestelmien suojaaminen, tietojen eheys, tapahtumien hallinta, häiriöiden ehkäisy ja liiketoiminnan jatkuvuuden varmistaminen.
Ilmoitusvelvollisuus
Yritysten on ilmoitettava merkittävistä kyberturvallisuushäiriöistä tai -uhkista viranomaisille nopeasti. Ilmoituksen on tapahduttava yleensä 24 tunnin kuluessa tapahtuman havaitsemisesta ja jatkoilmoitus on tapahduttava 72 tunnin sisällä.
Henkilöstön koulutus ja tietoisuus
Yritysten on tarjottava henkilöstölleen säännöllistä koulutusta kyberturvallisuusuhkien tunnistamiseen ja ennaltaehkäisemiseen. Tietoisuuden lisääminen auttaa minimoimaan inhimillisten virheiden aiheuttamia riskejä.
Toimitusketjun turvallisuus
Yritysten on arvioitava ja hallittava toimitusketjuihin ja kolmansien osapuolten palveluihin liittyviä kyberturvallisuusriskejä. Tämä sisältää myös yhteistyökumppaneiden ja alihankkijoiden kyberturvallisuuskäytäntöjen valvonnan.
Johtotason sitoutuminen
Ylimmän johdon on otettava vastuu kyberturvallisuudesta. Yrityksen johdon on oltava tietoinen kyberturvallisuusriskeistä ja varmistettava, että organisaation kyberturvallisuustoimenpiteet ovat riittävät.
Miksi NIS2 on tärkeä myös PK-yrityksille, joita direktiivi ei koske?
Pienet- ja keskisuuret yritykset ovat nykyisin yhä enemmän mukana digitaalisen talouden ytimessä, ja vaikka NIS2:n säädökset eivät kaikkia yrityksiä koskekaan, voivat useat PK-yritykset olla osa toimitusketjua, jolloin kriittisiltä toimijoilta voi tulla erityisiä vaatimuksia myös pienemmille yrityksille.
Kyberhyökkäykset eivät kohdistu vain suuriin toimijoihin, vaan myös PK-yritykset ovat yhä enemmän hyökkäysten kohteena. Usein pienemmät toimijat ovat jopa houkuttelevampia kohteita, koska pienillä yrityksillä ei aina ole samankaltaisia resursseja käytössään kuin mitä isommilla yrityksillä on.
Miten pienemmät yritykset voivat valmistautua?
NIS2:n ja yleisen tietoturvan parantamisen suhteen suosittelemme lähtemään liikkeellä näillä askelilla:
Tunnista, mitä NIS2-vaatimuksia omaan yritykseesi kohdistuu
Nimeä vastuuhenkilöt ja varmista johdon sitoutuminen
Arvioi nykyiset tietoturvakäytännöt ja laadi toimintasuunnitelma
Päivitä tietoturvapolitiikat ja varmista ilmoitusvelvollisuuden täyttäminen
Käytä moderneja tietoturvaratkaisuja ja kouluta henkilöstöä jatkuvasti
Laadi suunnitelma tietoturvaloukkausten varalta
Hanki tarvittaessa kumppani auttamaan tietoturvan toteuttamisessa
Lue myös meidän tietoturvavinkit, joilla jokainen pk-yritys pääse jo pitkälle tietoturvan parantamiseksi.
Yhteenveto
NIS2-direktiivi tuo tiukempia kyberturvavaatimuksia, joihin myös pienempien yritysten on hyvä varautua. Direktiivi pakottaa kriittisillä toimialoilla toimivia organisaatioita parantamaan valmiuksia suojautua kyberuhkilta ja tarjoaa näin mahdollisuuden kehittää tietoturvaa kattavammaksi. Vaikka NIS2-direktiivi ei suoranaisesti kaikkia yrityksiä koskekaan, niin myös monille pk-yrityksille voi tulla erityisiä vaatimuksia tietoturvan suhteen, jos ne tarjoavat palveluitaan kriittisille toimialoille.
Jos yrityksesi toimii kriittisillä sektoreilla, nyt on viimeinen aika varmistaa, että kyberturvallisuusprosessit ja riskienhallintakäytännöt ovat ajan tasalla. Samaa suosittelemme myös kaikille muillekin yrityksille kokoon tai toimialaan katsomatta. Autamme yritystänne löytämään liiketoimintaanne ja toimintaympäristöönne sopivan kokonaisuuden, ja voitte jättää tietoturvan jatkuvan seurannan, valvonnan sekä kehityksen asiantuntijoillemme.