Uusi verkko- ja tietoturvadirektiivi NIS2 on hyväksytty EU:ssa vuoden 2023 alussa. Kansallisesti se tulee ottaa käyttöön viimeistään 17.10.2024. Mikä muuttuu vanhaan direktiiviin verrattuna ja miksi tästä kannattaa monien yritysten olla jo nyt kiinnostunut?
Vuonna 2016 otettiin käyttöön ensimmäinen yhteinen tietoturvasäädös, NIS-direktiivi (The Directive on Security of Network and Information Systems). Tavoitteena oli parantaa EU-jäsenmaiden kyberturvallisuutta asettamalla tietyille toimialoille yhteinen kyberturvallisuuden vähimmäistaso. Vuonna 2024 voimaan astuva NIS2-direktiivi täydentää ensimmäistä direktiiviä:
"Konkreettisimmat muutokset liittyvät oikeudellisiin toimenpiteisiin sekä direktiivin piiriin kuuluvien yritysten määrään, kun mukaan tulee useita uusia toimialoja, kuten esimerkiksi vesi- ja jätehuolto sekä julkishallinto", kertoo Loihteen tietoturvakonsultti Juha Pennanen.
Tiedätkö, millä tolalla yrityksesi tietoturva-asiat ovat?
Uuden direktiivin myötä tarkennuksia tulee tietoturvavaatimuksiin, kuten erilaisiin toimintaa ohjaaviin säädöksiin, jatkuvuuden hallintaan sekä fyysiseen turvallisuuteen. Myös riskienhallinnan rooli korostuu aiempaa enemmän:
"Käytännössä tämä tarkoittaa sitä, että organisaatio kiinnittää huomiota riskienhallintapolitiikkaansa ja pyrkii jatkuvasti tunnistamaan ja seuraaman riskejä, millä taataan toiminnan jatkuminen. Huomio kiinnittyy entistä enemmän laajempaan kokonaisuuteen aina verkko- ja tietojärjestelmän hankinnasta sen kehittämiseen ja ylläpitoon", Pennanen avaa.
Lisäksi viranomaisten valvonta ja ohjaus kasvavat, sillä direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti -tilanteista. Direktiivin myötä keskeisiä toimijoita valvotaankin aktiivisesti.
"Keskeisiä toimijoita, joihin kuuluvat esimerkiksi energia-ala, pankit sekä jäte- ja vesihuolto, valvotaan ennakoidusti esimerkiksi mahdollisin tarkastuksin. Tärkeitä toimijoita, kuten posti- ja kuriiripalveluita sekä jätehuoltoa, valvotaan taas jälkikäteen, esimerkiksi mahdollisten tietoturvapoikkeamien yhteydessä", Pennanen listaa.
Valvontaan liittyvät myös uutena mahdolliset sanktiot. Pennanen muistuttaa, ettei paniikkiin ole syytä kuitenkaan joutua:
"Kannattaa jo nyt kiinnostua direktiivistä ja selvittää, kuuluuko yrityksesi sen piiriin. Direktiivin myötä tulee paljon sellaisia vaatimuksia, joiden mahdollinen kuntoon saattaminen ei tapahdu hetkessä. Apua ja tukea on kuitenkin saatavilla, eikä kaikkea selvittelytyötäkään tarvitse tehdä aina itse. Nyt ehtii vielä hyvin laittaa tietoturva-asiat kuntoon."
Ota kumppaniksi osaava tekijä, joka hoitaa tietoturvapaletin alusta loppuun
Pennasen mukaan yllättävän monessa yrityksessä on puutteita tietoturvan perusasioissa. Tämä on tullut esille Loihteen tekemissä tietoturva-arvioinneissa eri yrityksille.
"Jos tiedät, että tietoturva-asiat ovat yrityksessäsi retuperällä, nyt on aika toimia. Jos oma tieto ja resurssi eivät riitä ongelmien korjaamiseen, tarvitaan usein kumppani, joka arvioi ensin yrityksen nykytilan, tekee suunnitelman korjaustoimenpiteistä ja auttaa hoitamaan mahdolliset puutteet. Loihteelta saa apua tällaisissa asioissa", Pennanen summaa.
Vielä ei kuitenkaan tiedetä tarkalleen kaikkia NIS2-direktiivin yksityiskohtia, vaan ne jäävät kansallisen määrittelyn tarkennettavaksi.
"Direktiivi on vielä ylätasolla, vähän kuten GDPR:n tulkinta aivan alussa. NIS2:n vaatimukset ja yksityiskohdat tarkentuvat kuitenkin jatkuvasti kansallisessa määrittelyssä. Kannattaa seurata myös esimerkiksi omien toimialajärjestöjen tiedottamista asiasta", Pennanen vinkkaa.
Lue lisää verkko- ja tietoturvadirektiivistä sivuiltamme.
Liity NIS2-tiedotuslistallemme ja pysyt ajan tasalla!