NIS2-direktiivi lyhyesti

NIS2-direktiivi (Network and Information Security Directive 2) on päivitetty versio alkuperäisestä NIS-direktiivistä, joka asetti perustason vaatimukset kyberturvallisuudelle EU-maissa. NIS2-direktiivi, joka hyväksyttiin joulukuussa 2022, on merkittävä osa EUkyberturvallisuusstrategiaa ja tuo uusia vaatimuksia kyberturvallisuuden parantamiseksi koko EUalueella. Sen tavoitteena on parantaa jäsenvaltioiden, yritysten ja kriittisten infrastruktuurien kykyä vastata kasvaviin kyberuhkiin ja häiriöihin.

NIS2-direktiivin keskeinen sisältö:

1. Laajennettu soveltamisala:
   • NIS2-direktiivi kattaa laajemman joukon yrityksiä ja organisaatioita kuin alkuperäinen NIS-direktiivi. Mukaan tulevat kriittisten infrastruktuurien lisäksi myös terveyssektori, energia-alan toimijat, liikenteen ja digitaalisten palvelujen tarjoajat.
   • Direktiivi laajentaa soveltamisalaa myös pienten ja keskisuurten yritysten osalta, mikäli ne ovat kriittisiä toimitusketjuille tai turvallisuudelle.
2. Riskienhallinta ja kyberturvallisuusvaatimukset:
   • NIS2 asettaa tiukemmat vaatimukset kyberturvallisuuden hallinnalle ja riskien arvioinnille.
   • Organisaatioiden on otettava käyttöön toimenpiteitä, jotka kattavat mm. toimitusketjujen suojaamisen, tietoturvaloukkausten ehkäisyn ja varautumisen kyberhyökkäyksiin.
   • Tärkeää on varmistaa kyberturvallisuus kaikilla tasoilla, niin teknisten ratkaisujen kuin henkilöstön osaamisen ja prosessien osalta.
3. Ilmoitusvelvollisuus:
   • Direktiivi velvoittaa yritykset ilmoittamaan kyberhyökkäyksistä ja tietoturvaloukkauksista entistä nopeammin, yleensä 24 tunnin kuluessa havaintohetkestä.
   • Ilmoitukset on tehtävä viranomaisille, ja vakavissa tapauksissa myös asiakkaille ja kumppaneille.
4. Kansalliset valvontaviranomaiset ja EU-yhteistyö:
   • Jäsenvaltioille asetetaan velvollisuus nimetä kansalliset viranomaiset valvomaan direktiivin noudattamista ja tukemaan kriittisten toimijoiden toimintaa.
   • NIS2 tuo mukanaan tiiviimmän yhteistyön jäsenvaltioiden ja EUvälillä, mikä mahdollistaa paremman koordinaation ja tietojenvaihdon kyberuhkien torjumiseksi.
5. Sanktiot ja vastuullisuus:
   • Direktiivi määrittelee sanktiot yrityksille ja organisaatioille, jotka eivät täytä vaatimuksia tai eivät reagoi kyberuhkiin asianmukaisesti.
   • Yrityksillä on oltava selkeä vastuu ja johdon on osallistuttava kyberturvallisuustoimenpiteiden toteuttamiseen. Tämä tuo esille johdon ja hallituksen vastuun kyberturvallisuudesta.