NIS2 direktiivi

Euroopan unionin NIS 2-direktiivi tuli voimaan joulukuussa 2022 ja se tuli osaksi kansallista lainsäädäntöä lokakuun 17. päivään 2024 mennessä. NIS2-direktiivin käytännön soveltaminen alkoi 18.10.2024. Tässä oppaassa tutustutaan siihen mikä muuttuu, keitä muutokset koskevat ja mitkä ovat uudet NIS2 vaatimukset.

Yrityksillä on siis vielä aikaa valmistautua ja varmistaa yrityksen tietoturvan vaatimuksenmukaisuus uudelle minimitasolle.

Lauri Jurvanen – SAVE Lan Oy

Verkko- ja tietoturvadirektiivi NIS2:n tavoitteena on kyberturvallisuuden yhteisen tason varmistaminen kaikkialla Euroopan unionissa.

KESKEISET ASIAT

Mikä on NIS2-direktiivi ?

Mikä on NSI2-direktiivi - SAVE LAN Oy

NIS2 eli kyberturvallisuusdirektiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja turvata EU:n kyberturvallisuuden tasoa aikaisempaa paremmin. NIS2 korvaa edellisen NIS-direktiivin laajentaen sen soveltamisalaa ja vaatimuksia.

Päivitetyssä direktiivissä vaatimukset ja vastuut tiukentuvat ja NIS2-direktiivin tarkoituksena on parantaa Euroopan Unionin alueen yhteiskunnan kannalta kriittisten ja tärkeiden toimijoiden kyberturvatietoisuutta sekä varautumista uhkiin ja suojata EU:n alueen toimijoita yhä kasvavilta kyberuhkilta

NIS2 direktiivi määrittelee vähimmäistoimenpiteet, jotka toimijan tulee toteuttaa. NIS2:ssa korostuu riskienhallinta ja uutena vaatimuksena mukaan tulee mm. fyysinen turvallisuus. Direktiivi sisältää tiukat raportointivaatimukset toimintaa häiritsevistä poikkeamista ja läheltä piti tilanteista.

NIS2 direktiivin myötä keskeisiä toimijoita valvotaan aktiivisesti (etukäteen) ja tärkeitä toimijoita passiivisesti (jälkikäteen). Hallinnolliset seuraamukset ovat merkittävät.

NIS2-direktiivin vaatimukset

  • Riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat uudet politiikkakäytännöt
  • Poikkeamien käsittely ja niiden raportointi
  • Toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta
  • Toimitusketjun turvallisuuden parantaminen, mukaan lukien kunkin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat
  • Verkko- ja tietojärjestelmien hankinnan, kehittämisen ja ylläpidon turvallisuuden parantaminen, mukaan lukien haavoittuvuuksien käsittely ja raportointi
  • Toimintaperiaatteet ja menettelyt, joilla arvioidaan kyberturvallisuusriskien hallintatoimenpiteiden tehokkuutta
  • Perustason kyberhygieniakäytännöt ja henkilöstön kyberturvallisuuskoulutus
  • Toimintaperiaatteet ja menettelyt, jotka koskevat kryptografian ja tarvittaessa salauksen käyttöä
  • Henkilöstöturvallisuus, pääsynhallintaperiaatteet ja omaisuudenhallinta
  • Tarvittaessa on otettava käyttöön monivaiheinen todennus tai jatkuvan todennuksen ratkaisu, suojattu puhe-, video- ja tekstiviestintä sekä suojatun hätäviestintäjärjestelmän käyttö toimijan toiminnassa

Tärkeää tietää NIS2-direktiivistä

Mitä toimialoja NIS2-direktiivi koskee? Keitä ovat keskeiset ja tärkeät toimijat? Mitkä asiat muuttuvat suhteessa aikaisempaan NIS2 direktiiviin? Millaisia ovat NIS2 sanktiot jos organisaatio epäonnistuu vaatimusten toteuttamisessa?

  • NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin, joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan. Toimijat jaetaan kahteen pääluokkaan; keskeiset ja tärkeät toimijat.
  • Direktiivi koskee automaattisesti kaikkia keskisuuria (50+ henkilöä ja yli 10 milj. liikevaihto) sekä suuria yli 250 henkilön yrityksiä, jotka toimivat keskeisillä toimialoilla.
  • NIS2-direktiivi koskee myös kaikkia kansallisesti kriittisiksi määriteltyjä toimijoita koosta riippumatta. Näille toimijoille ilmoitetaan erikseen.
  • Energia (sähkö, öljy, kaasu, kaukolämpö ja -jäähdytys, vety)
  • Liikenne (ilma-, rautatie-, vesi- ja maantiekuljetus)
  • Terveydenhuolto (julkiset sairaalat ja yksityiset klinikat)
  • Vesihuolto (juomavesi, jätevesi)
  • Digitaalinen infrastruktuuri (telekommunikaatio, DNS, TLD, pilvipalvelut, datakeskukset)
  • Rahoitus (pankkitoiminta, rahoitusmarkkinainfrastruktuurit)
  • Julkishallinto
  • Avaruus
  • Digitaaliset palveluntarjoajat (verkkokaupat, hakukoneet, sosiaalisen median palvelut)
  • Posti ja kuriiripalvelut
  • Jätehuolto
  • Elintarviketeollisuus
  • Valmistava teollisuus (lääketieteelliset laitteet, elektroniikka, koneet, ajoneuvot)
  • Kemikaalit (valmistus ja jakelu)
  • Tutkimusorganisaatiot
  • Direktiivin piiriin kuuluvien yritysten määrä kasvaa
  • Riskienhallinnan merkitys ja vaatimukset tiukentuvat
  • Yritysten on noudatettava tiukempia tietoturvakäytäntöjä ja velvoitteita
  • Viranomaisten ennakoiva valvonta ja ohjaus lisääntyvät
  • Koko toimitusketjun turvallisuuden varmistaminen korostuu
  • Raportointivaatimukset ovat aiempaa tiukemmat
  • Uusien säännösten rikkomisesta voi seurata sanktioita
  • Johtoryhmien vastuu kyberturvallisuudesta kasvaa
  • Viranomainen keskeyttää keskeisen toimijan palvelut väliaikaisesti
  • Toimitusjohtajan tai vastaavan laillisen edustajan kielto johtotehtävistä väliaikaisesti
  • Hallinnollinen sakko keskeiselle toimialalle enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
  • Hallinnollinen sakko tärkeälle toimijalle enintään 7 miljoonaa euroa tai 1,4 % liikevaihdosta
  • Hallinnolliset seuraamukset voivat sisältää myös määräyksiä toteuttaa tietoturvatoimia tai korjaavia toimenpiteitä.

Miten OT VERKKO tulee varmistaa NIS2-direktiiviä varten?

NIS2-direktiivin mukaisesti OT-verkkojen turvaaminen edellyttää kokonaisvaltaista lähestymistapaa tietoturvaan. Tämä sisältää riskienhallinnan, turvallisuusvaatimusten noudattamisen ja poikkeamien hallinnan. Näihin kuuluu säännöllinen riskianalyysi, turvallisuuspäivitykset, pääsynhallinnan parantaminen sekä poikkeamien raportointi ja käsittely. Jokaisen organisaation tulee jatkuvasti päivittää ja auditoida tietoturvakäytäntöjään.

Riskienhallinta

HAASTE: NIS2 korostaa ennakoivaa riskienhallintaa kyberhyökkäyksille alttiina oleville SCADA- ja OT-ympäristöille.

TOIMENPIDE: Yritysten on toteutettava säännöllisiä riskianalyysejä ja päivitettävä tietoturvakäytäntöjään jatkuvasti. Riskienhallinta kattaa haavoittuvuuksien tunnistamisen, arvioinnin ja hallinnan.

Kovemmat tietoturvavaatimukset

HAASTE: NIS2 direktiivi asettaa aikaisempaa tiukemmat verkko- ja tietojärjestelmien tietoturvavaatimukset.

TOIMENPIDE: SCADA- ja OT-ympäristöissä tämä tarkoittaa mm. turvallisuuspäivityksiä, pääsynhallinnan parantamista ja järjestelmien säännöllistä auditointia. Nykypäivänä korustuu erityisesti myös liikenteen seurannan parantaminen.

Poikkeamien hallinta ja raportointi

HAASTE: NIS2 vaatii merkittävien kyberturvallisuuspoikkeamien raportointia.

TOIMENPIDE: Yrityksen on luotava poikkeamien hallintasuunnitelmaa ja raportoitava kyberhäiriöistä määräajassa ja -muotoisesti. Erityisesti haasteena on 24 tunnin sisällä tehtävä viranomaisraportointi. SCADA- ja OT-järjestelmissä poikkeamien hallinta tulee sisältää automaattiset hälytykset ja tarkat vastetoimenpiteet kyberhyökkäysten tapahtuessa.

Toimitusketjun turvallisuuden varmistaminen

HAASTE: NIS2 direktiivi edellyttää toimitusketjun turvallisuuden varmistamista.

TOIMENPIDE: Enää ei voida tuudittautua että jokainen hoitaa oman tonttinsa, vaan täytyy yhdessä varmistaa että SCADA- ja OT-ympäristöissä kaikki osapuolet noudattavat riittäviä kyberturvallisuusstandardeja.

Kyberhygienia ja koulutustarpeet

HAASTE: Scada- ja OT-ympäristöissä ihmisen roolilla on iso merkitys kyberhyökkäysten ehkäisyssä.

TOIMENPIDE: Yrityksissä täytyy ylläpitää korkean standardin kyberhygieniakäytäntöjä esimerkiksi varmistaen sähköpostikalastelulta suojautumisen sekä varmistaa jatkuva tietoturvakoulutus.

Toiminnan jatkuvuuden hallinta

HAASTE: Järjestelmien varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta.

TOIMENPIDE: Säännöllinen varmuuskopioiden testaus ja palautus tuotantojärjestelmään.

Miten NIS2 uudet vaatimukset täytetään?

Tutustu palvelupaketteihimme

NIS2 kehityshankkeet alkavat aina maksuttomalla kartoituksella, jonka jälkeen edetään NIS2 GAP-analyysiin. Varsinainen NIS2 kehityshanke voidaan toteuttaa toimintasuunnitelman perustella.

NIS2 Alkukartoitus

0 €

NIS2 alkukartoituksessa selvitämme yrityksen lähtötilannetta ja sitä mitä ollaan jo tehty ja mihin suuntaan ollaan menossa sekä johdon ymmärrys tulevista NIS2 vaatimuksista

Maksuttomassa alkukartoituksessa saadaan selville yrityksen valmius NIS GAP-ANALYYSIN toteuttamiseen.

Varaa maksuton konsultaatio

NIS2 GAP-analyysi

2690 €

NIS2 GAP -analyysi antaa organisaatiolle kattavan näkemyksen kyberturvallisuuden nykytilasta suhteessa NIS2-vaatimuksiin. Sen lisäksi saatte konkreettisen toimintasuunnitelman ja listan toimenpiteistä kohti NIS2 vaatimustenmukaisuutta. Loppuraportti kostaa ja analysoi havainnot sekä priorisoi toimenpidesuositukset kehityspoluksi. 

Varaa maksuton konsultaatio

NIS2 kehityshanke

kysy tarjous

Toimintasuunnitelman toteutukseen saat avuksesi Save LANin kokeneet NIS2-direktiivin vaatimuksiin perehtyneet asiantuntijat. Meiltä saat tukea mm. politiikoiden ja muiden dokumenttien luontiin, häiriönhallintaan, ratkaisusuunnitteluihin ja haavoittuvuuksien hallintaan, sisältäen myös fyysisen turvallisuuden ja palomuurilaitteet.

Varaa maksuton konsultaatio

Usein kysyttyä

Suomen osalta NIS2-direktiivin kansallinen toimeenpano on jo käynnissä ja se on saatettava voimaan 17. lokakuuta 2024 mennessä. NIS2-direktiivi soveltaminen alkaa 18.10.2024.

ISO 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvallisuuden hallintajärjestelmän (Information Security Management System, ISMS) perustamiselle, toteuttamiselle, ylläpitämiselle ja jatkuvalle parantamiselle. Se auttaa organisaatioita suojaamaan tietojaan systemaattisella riskienhallintaprosessilla ja varmistamaan tietojen luottamuksellisuuden, eheyden ja saatavuuden.

NIS2-direktiiviin liittyvät vaatimukset koskevat automaattisesti kaikkia keskisuuria yrityksiä, joissa on yli 50 työntekijää tai liikevaihto ylittää 10 miljoonaa euroa, mikäli ne toimivat kriittisillä toimialoilla. Direktiivi asettaa tiukemmat tietoturvavaatimukset, kuten riskienhallinnan, poikkeamien raportoinnin ja toimitusketjun turvallisuuden varmistamisen. Yritysten on noudatettava uusia tietoturvakäytäntöjä ja -vaatimuksia sekä varauduttava viranomaisten ennakoivaan valvontaan ja mahdollisiin sanktioihin.

Ota yhteyttä