logo

NIS2 nostaa Euroopan tietoturvatason tähän päivään

NIS2 on koko Eurooppaa koskeva tieturvaa lisäävä lakipäivitys, jonka katsotaan parantavan merkittävästi sekä yksityisten että yritysten kyberturvallisuutta. NIS2 on siis seuraava askel Euroopan kyberturvallisuutta koskien, ja se poikkeaa edeltäjästään NIS1 asetuksesta yhdenmukaistaen Euroopan kyberturvallisuutta.

 

 

NIS2 direktiiviä koskevat alat

NIS2 direktiivi ja muutokset sitä koskien tapahtuu vahvimmin sen sisältämien alojen suhteen. NIS2 toimialat laajenevat kattaen lukuisia tärkeitä toimialoja. NIS2 direktiivissä on huomioitu myös julkiset toimijat, jotka toimivat yhä laajemmin verkossa.
NIS2 direktiivi asettaa useita toimenpiteitä ja edellytyksiä yrityksille sekä heidän henkilöstölleen. Kaiken kaikkiaan NIS2 ja sitä koskevat säädökset on jokaisen kansalaisen hyvä tiedostaa, sillä NIS2 direktiivi tarkoittaa, että muutoksia päivittäispalveluissa ja niiden käytössä on myös luvassa.

”NIS2 suomeksi: kyberturvallisuus direktiivi eli Network and Information Systems Directive.”

NIS2 direktiivi päivittää tietoturvalain 2020-luvulle

NIS2 direktiivi korvaa aiemman verkko- ja tietoturvadirektiivin eli NIS1 direktiivin. Päivityksen myötä NIS2 katsotaan parantavan merkittävästi Euroopan alueen kyberturvallisuutta ja lisäävän verkkoyhteistyötä Euroopan maiden välillä.

Huom.! Suomessa Liikenne- ja viestintävirasto Traficom on ollut alusta saakka valmistelemassa NIS2 toimenpiteiden toteutumista laatimalla suosituksia.

NIS 2 direktiivi varmistaa, että tieto ja kyberturvallisuus on huomioitu ajanmukaisesti, ja Eurooppa on valmis vastaamaan tuleviin haasteisiin tehokkaasti ja koordinoidusti. NIS2 ja Traficomin laatimat suositukset taas varmistaa käytännössä, että tieto ja kyberturvallisuus saadaan Suomessa tarvittavalle tasolle:

  • tukemalla valvovia viranomaisia
  • auttamalla NIS2 toimialoja.

NIS2 vaatimukset

NIS2 vaatimukset koskevat yrityksiä, joissa:

  1. työntekijämäärä ylittää 250 henkeä
  2. liikevaihto on yli 10 miljoonaa ja henkilöstömäärä ylittää 50 henkeä
  3. palveluntarjoaja tai pienyritys toimii kriittisellä toimialalla, jonka työn sisältö koskettaa olennaisesti tietoturvaan liittyviä tekijöitä (viranomaiset tekevät arvion).

Huom.! Kaikkia NIS2 piiriin kuuluvien toimijoiden varmistettava että NIS2 vaatimukset on huomioituna riittävästi ja että niitä noudatetaan tarpeenmukaisella tavalla.

NIS2 vaatimukset edellyttävät muun muassa:

  1. Toteuttamaan asianmukaiset tekniset ja organisatoriset turvatoimet.
  2. Hallitsemaan tietoturvariskejä aktiivisesti.
  3. Raportoimaan tietoturvaloukkauksista viranomaisille tiukkojen aikarajojen puitteissa.
  4. Yhteistyötä muiden toimijoiden ja viranomaisten kanssa kyberturvallisuuden parantamiseksi.

Lue myös aiheesta: Identiteettivarkaus

NIS2 ja verkkotunnustoiminta

Yksi laajasti käyttäjiä sekä palveluntarjoajia koskettava NIS2 asetuksen parannus koskee verkkotunnustoimintaa. Verkkotunnustoiminta tulee tiukentumaan ja tämä koskee erityisesti Traficomin hallinnoimaa verkkotunnusrekisteriä.

NIS2 direktiivi asettaa uudet vaatimukset, joilla pyritään:

  1. estämään tietoturvauhat
  2. varmistamaan verkkotunnustoiminnan jatkuvuus myös häiriötilanteissa.

NIS2 asetusten mukaan verkkotunnustoimijoilla on velvollisuuksia kuten:

  1. Riskienhallinta
    Tunnistettava ja hallittava palveluihin liittyviä tietoturvariskejä.

2. Tietoturvaloukkauksista raportointi
Tietoturvaloukkauksista ja -uhista on raportoitava kansallisille viranomaisille (Suomessa Traficomille) tietyn aikarajan sisällä.
Viranomaisen on voitava arvioida raportoinnista uhkien vakavuus ja ryhtyä tarvittaviin toimenpiteisiin.

3. Tietoturvatoimenpiteiden toteuttaminen
Varmistettava, että tietoturvatoimenpiteet ovat ajan tasalla ja että ne vastaavat nykyisiä uhkia.
Sisältää säännölliset turvatarkastukset, ohjelmistopäivitykset ja reagoimisen uusiin uhkakuviin nopeasti.

4. Toimitusketjun turvallisuus
Hallittava tietoturvariskejä, jotka liittyvät käyttämiinsä toimittajiin ja kumppaneihin.
Varmistettava, että käyttämänsä kolmannet osapuolet noudattavat myös korkeita tietoturvastandardeja.

5. Kriittisten toimintojen jatkuvuuden varmistaminen
Palveluiden tulee voida jatkua tai toipua nopeasti mahdollisten tietoturvahyökkäysten jälkeen.

Lue myös: Lainojen yhdistäminen yhdeksi

NIS2 toimialat ja EU tietoturvadirektiivi

Ne toimialat, jotka ovat olleet aiemmin NIS1 alaisuudessa, saavat uudet kohdistetut kyberturvallisuutta koskevat vaatimukset. Mukana on myös täysin uusia toimialoja, kuten osa lääketieteestä sekä elintarvikeala, on lisätty NIS2 velvoittamiin toimialoihin.
NIS2 ketä koskee? NIS2 toimialat, joita myös Suomessa edellytetään ottamaan NIS2 muutokset huomioon, ovat pääsääntöisesti:

  • Energia
    • Sähköverkot ja -tuotanto
    • Kaasulaitokset ja -verkot
    • Öljynjalostus ja -jakelu
  • Liikenne
    • Ilmailu (lentokentät, lentoyhtiöt)
    • Rautatieliikenne (rautatiet, rautatieliikenteen operaattorit)
    • Meriliikenne (satamat, varustamot)
    • Maantieliikenne (bussiliikenne, logistiikka)
  • Terveys
    • Sairaalat
    • Terveydenhuollon palveluntarjoajat
    • Lääketieteellisten laitteiden valmistajat
  • Pankki ja finanssiala
    • Pankit
    • Maksupalveluiden tarjoajat
    • Rahoitusmarkkinoiden infrastruktuurit
  • Elintarvike- ja maatalousala
    • Elintarvikkeiden tuotanto ja jakelu
    • Maatalouden kriittiset toimijat
  • Vesihuolto
    • Vedenjakelu ja käsittely
    • Jäteveden käsittely
  • Digitaalinen infrastruktuuri
    • Internetin solmupisteet
    • Sisällönjakeluverkot (CDN)
    • Pilvipalvelujen tarjoajat
    • Data-alustat ja verkkoalustat
  • Julkiset sähköisen viestinnän palvelut
    • Viranomaiset

NIS2 toimialat kattavat niin ison joukon aloja ja toimijoita, että voisi sanoa, että jokainen suomalainen pääsee kosketuksiin EU NIS2 asetuksen kanssa, ellei työnsä niin yksityisenä palveluiden käyttäjänä.

EU tietoturvadirektiivi NIS2 voimaantulo tietää uusia toimintatapoja

Suomen on sisällytettävä NIS2 direktiivi kansalliseen lainsäädäntöön vuoden 2024 aikana. Organisaatioiden, joita NIS2 voimaantulo koskee, on oltava valmiita noudattamaan uusia vaatimuksia tähän mennessä.

NIS2 direktiivi pyritään saamaan osaksi kansallista lainsäädäntöä 17.10.2024 mennessä. NIS2 voimaantulo ja sen soveltaminen alkaa 18.10.2024.

Yrityksille ja organisaatioille NIS2 voimaantulo tarkoittaa esimerkiksi seuraavaa:

  • investointeja uusiin tietoturvateknologioihin
  • prosessien päivittämistä
  • henkilöstön kouluttamista
  • huomion kohdistamista toimitusketjun turvallisuuteen
  • kolmansien osapuolten riskien hallinnan huomiointi

Yritysten tietoturva ja uusi NIS2 tarkoittaa käytännössä koko henkilökunnan koulutusta ja perehdyttämistä. Yritysten tietoturva on kuitenkin aina johdon vastuulla ja siitä vastaa yrityksen hallitus sekä ennen kaikkea yrityksen toimitusjohtaja.
NIS2 soveltamisala on laajempi jo siitä syystä, että yhä useampi organisaatio ja ala on siirtynyt palveluissaan digitaalisiin muotoihin. NIS2 soveltamisala sisältää myös toimialoja, jotka ovat kriittisiä valtion ja sen yhteiskunnan toimintojen kannalta.

Tutustu: Kulutusluotot kilpailutettuna

Usein kysytyt kysymykset

Mitä NIS2 tarkoittaa?

NIS2 on Euroopan unionin uusi kyberturvallisuusdirektiivi, jonka tarkoituksena on parantaa ja yhtenäistää koko EU:n kyberturvallisuuden tasoa.

Milloin NIS2 tulee voimaan?

Suomen osalta NIS2-direktiivin on saatettava voimaan 17. lokakuuta 2024 mennessä. NIS2-direktiivin soveltaminen alkaa siis 18.10.2024.

Riku Laine
Päivitetty: 2024-09-02

Muita artikkeleitamme

Autoetu

Autoetu kuuluu luontoisetuihin ja sitä voidaan tarjota erilaisilla sopimuksilla riippuen yrityksestä. Lue lisää autoedusta tästä tietopaketi...
Lue lisää

Liikunta ja kulttuurietu

Liikunta ja kulttuurietu on työnantajan tarjoama etu, joka ylläpitää ja edistää työntekijöiden hyvinvointia ja jaksamista. Lue tietopakettim...
Lue lisää

nis2-direktiivi

NIS2 on koko Eurooppaa koskeva tieturvaa lisäävä lakipäivitys, joka parantaa sekä yksityisten että yritysten kyberturvallisuutta. Lue lisää ...
Lue lisää