NIS2 direktiivi
Euroopan unionin NIS 2-direktiivi tuli voimaan joulukuussa 2022 ja se tuli osaksi kansallista lainsäädäntöä lokakuun 17. päivään 2024 mennessä. NIS2-direktiivin käytännön soveltaminen alkoi 18.10.2024. Tässä oppaassa tutustutaan siihen mikä muuttuu, keitä muutokset koskevat ja mitkä ovat uudet NIS2 vaatimukset.
Yrityksillä on siis vielä aikaa valmistautua ja varmistaa yrityksen tietoturvan vaatimuksenmukaisuus uudelle minimitasolle.
Lauri Jurvanen – SAVE Lan Oy
KESKEISET ASIAT
Mikä on NIS2-direktiivi ?
NIS2 eli kyberturvallisuusdirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja turvata EU:n kyberturvallisuuden tasoa aikaisempaa paremmin. NIS2 korvaa edellisen NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia.
Päivitetyssä direktiivissä vaatimukset ja vastuut tiukentuvat ja NIS2-direktiivin tarkoituksena on parantaa Euroopan Unionin alueen yhteiskunnan kannalta kriittisten ja tärkeiden toimijoiden kyberturvatietoisuutta sekä varautumista uhkiin ja suojata EU:n alueen toimijoita yhä kasvavilta kyberuhkilta
NIS2 direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. NIS2:ssa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista.
NIS2 direktiivin myötä keskeisiä toimijoita valvotaan aktiivisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat merkittävät.
NIS2-direktiivin vaatimukset
Tärkeää tietää NIS2-direktiivistä
Mitä toimialoja NIS2-direktiivi koskee? Keitä ovat keskeiset ja tärkeät toimijat? Mitkä asiat muuttuvat suhteessa aikaisempaan NIS2 direktiiviin? Millaisia ovat NIS2 sanktiot jos organisaatio epäonnistuu vaatimusten toteuttamisessa?
- NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin, joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan. Toimijat jaetaan kahteen pääluokkaan; keskeiset ja tärkeät toimijat.
- Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) sekä suuria yli 250 henkilön yrityksiä, jotka toimivat keskeisillä toimialoilla.
- NIS2-direktiivi koskee myös kaikkia kansallisesti kriittisiksi määriteltyjä toimijoita koosta riippumatta. Näille toimijoille ilmoitetaan erikseen.
- Energia (sähkö, öljy, kaasu, kaukolämpö ja -jäähdytys, vety)
- Liikenne (ilma-, rautatie-, vesi- ja maantiekuljetus)
- Terveydenhuolto (julkiset sairaalat ja yksityiset klinikat)
- Vesihuolto (juomavesi, jätevesi)
- Digitaalinen infrastruktuuri (telekommunikaatio, DNS, TLD, pilvipalvelut, datakeskukset)
- Rahoitus (pankkitoiminta, rahoitusmarkkinainfrastruktuurit)
- Julkishallinto
- Avaruus
- Digitaaliset palveluntarjoajat (verkkokaupat, hakukoneet, sosiaalisen median palvelut)
- Posti ja kuriiripalvelut
- Jätehuolto
- Elintarviketeollisuus
- Valmistava teollisuus (lääketieteelliset laitteet, elektroniikka, koneet, ajoneuvot)
- Kemikaalit (valmistus ja jakelu)
- Tutkimusorganisaatiot
- Direktiivin piiriin kuuluvien yritysten määrä kasvaa
- Riskienhallinnan merkitys ja vaatimukset tiukentuvat
- Yritysten on noudatettava tiukempia tietoturvakäytäntöjä ja velvoitteita
- Viranomaisten ennakoiva valvonta ja ohjaus lisääntyvät
- Koko toimitusketjun turvallisuuden varmistaminen korostuu
- Raportointivaatimukset ovat aiempaa tiukemmat
- Uusien säännösten rikkomisesta voi seurata sanktioita
- Johtoryhmien vastuu kyberturvallisuudesta kasvaa
- Viranomainen keskeyttää keskeisen toimijan palvelut väliaikaisesti
- Toimitusjohtajan tai vastaavan laillisen edustajan kielto johtotehtävistä väliaikaisesti
- Hallinnollinen sakko keskeiselle toimialalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
- Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta
- Hallinnolliset seuraamukset voivat sisältää myös määräyksiä toteuttaa tietoturvatoimia tai korjaavia toimenpiteitä.
Miten OT VERKKO tulee varmistaa NIS2-direktiiviä varten?
NIS2-direktiivin mukaisesti OT-verkkojen turvaaminen edellyttää kokonaisvaltaista lähestymistapaa tietoturvaan. Tämä sisältää riskienhallinnan, turvallisuusvaatimusten noudattamisen ja poikkeamien hallinnan. Näihin kuuluu säännöllinen riskianalyysi, turvallisuuspäivitykset, pääsynhallinnan parantaminen sekä poikkeamien raportointi ja käsittely. Jokaisen organisaation tulee jatkuvasti päivittää ja auditoida tietoturvakäytäntöjään.
Riskienhallinta
HAASTE: NIS2 korostaa ennakoivaa riskienhallintaa kyberhyökkäyksille alttiina oleville SCADA- ja OT-ympäristöille.
TOIMENPIDE: Yritysten on toteutettava säännöllisiä riskianalyysejä ja päivitettävä tietoturvakäytäntöjään jatkuvasti. Riskienhallinta kattaa haavoittuvuuksien tunnistamisen, arvioinnin ja hallinnan.
Kovemmat tietoturvavaatimukset
HAASTE: NIS2 direktiivi asettaa aikaisempaa tiukemmat verkko- ja tietojärjestelmien tietoturvavaatimukset.
TOIMENPIDE: SCADA- ja OT-ympäristöissä tämä tarkoittaa mm. turvallisuuspäivityksiä, pääsynhallinnan parantamista ja järjestelmien säännöllistä auditointia. Nykypäivänä korustuu erityisesti myös liikenteen seurannan parantaminen.
Poikkeamien hallinta ja raportointi
HAASTE: NIS2 vaatii merkittävien kyberturvallisuuspoikkeamien raportointia.
TOIMENPIDE: Yrityksen on luotava poikkeamien hallintasuunnitelmaa ja raportoitava kyberhäiriöistä määräajassa ja -muotoisesti. Erityisesti haasteena on 24 tunnin sisällä tehtävä viranomaisraportointi. SCADA- ja OT-järjestelmissä poikkeamien hallinta tulee sisältää automaattiset hälytykset ja tarkat vastetoimenpiteet kyberhyökkäysten tapahtuessa.
Toimitusketjun turvallisuuden varmistaminen
HAASTE: NIS2 direktiivi edellyttää toimitusketjun turvallisuuden varmistamista.
TOIMENPIDE: Enää ei voida tuudittautua että jokainen hoitaa oman tonttinsa, vaan täytyy yhdessä varmistaa että SCADA- ja OT-ympäristöissä kaikki osapuolet noudattavat riittäviä kyberturvallisuusstandardeja.
Kyberhygienia ja koulutustarpeet
HAASTE: Scada- ja OT-ympäristöissä ihmisen roolilla on iso merkitys kyberhyökkäysten ehkäisyssä.
TOIMENPIDE: Yrityksissä täytyy ylläpitää korkean standardin kyberhygieniakäytäntöjä esimerkiksi varmistaen sähköpostikalastelulta suojautumisen sekä varmistaa jatkuva tietoturvakoulutus.
Toiminnan jatkuvuuden hallinta
HAASTE: Järjestelmien varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta.
TOIMENPIDE: Säännöllinen varmuuskopioiden testaus ja palautus tuotantojärjestelmään.
Miten NIS2 uudet vaatimukset täytetään?
Tutustu palvelupaketteihimme
NIS2 kehityshankkeet alkavat aina maksuttomalla kartoituksella, jonka jälkeen edetään NIS2 GAP-analyysiin. Varsinainen NIS2 kehityshanke voidaan toteuttaa toimintasuunnitelman perustella.
NIS2 Alkukartoitus
NIS2 alkukartoituksessa selvitämme yrityksen lähtötilannetta ja sitä mitä ollaan jo tehty ja mihin suuntaan ollaan menossa sekä johdon ymmärrys tulevista NIS2 vaatimuksista
Maksuttomassa alkukartoituksessa saadaan selville yrityksen valmius NIS GAP-ANALYYSIN toteuttamiseen.
NIS2 GAP-analyysi
NIS2 GAP -analyysi antaa organisaatiolle kattavan näkemyksen kyberturvallisuuden nykytilasta suhteessa NIS2-vaatimuksiin. Sen lisäksi saatte konkreettisen toimintasuunnitelman ja listan toimenpiteistä kohti NIS2 vaatimustenmukaisuutta. Loppuraportti kostaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi.
NIS2 kehityshanke
Toimintasuunnitelman toteutukseen saat avuksesi Save LANin kokeneet NIS2-direktiivin vaatimuksiin perehtyneet asiantuntijat. Meiltä saat tukea mm. politiikoiden ja muiden dokumenttien luontiin, häiriönhallintaan, ratkaisusuunnitteluihin ja haavoittuvuuksien hallintaan, sisältäen myös fyysisen turvallisuuden ja palomuurilaitteet.