Mikä on NIS2-direktiivi?
Päivitetty lainsäädäntö asettaa uusia ja tiukempia kyberturvallisuusvaatimuksia kriittisten ja tärkeiden toimialojen organisaatioille.
NIS2-direktiivi (Network and Information Security Directive 2) on Euroopan unionin päivitetty lainsäädäntö, joka asettaa uusia ja tiukempia vaatimuksia jäsenvaltioiden kriittisten ja tärkeiden toimialojen kyberturvallisuuden vahvistamiseksi.
Se on jatkoa alkuperäiselle NIS-direktiiville. Sen tavoitteena on parantaa EU-maiden kyberturvallisuuden tasoa yhtenäistämällä käytäntöjä ja vahvistamalla yhteistyötä jäsenvaltioiden, viranomaisten sekä yritysten välillä.
Direktiivi astui voimaan ja sen määräykset oli tarkoitus viedä kansalliseen lainsäädäntöön 17.10.2024 mennessä. Suomessa täytäntöönpano on kuitenkin viivästynyt, ja uuden kansallisen kyberturvallisuuslain arvioidaan astuvan voimaan vuoden 2025 kevään aikana.
Keitä NIS2-direktiivi koskee?
NIS2-direktiivi laajentaa soveltamisalaa kattamaan entistä useampia toimialoja ja organisaatioita. Direktiivi koskee pääsääntöisesti suuria ja keskisuuria organisaatioita seuraavilla kriteereillä:
| Toimijan luokittelu | Työntekijämäärä (FTE) | Vuosiliikevaihto | Taseen loppusumma |
|---|---|---|---|
| Suuret toimijat | ≥ 250 | > 50 M€ | > 43 M€ |
| Keskisuuret toimijat | 50–249 | > 10 M€ | > 10 M€ |
[!NOTE] Direktiiviä sovelletaan tietyissä tilanteissa myös pienempiin toimijoihin niiden koosta riippumatta, jos kyseessä on esimerkiksi valtiossa ainoa kriittisen palvelun tarjoaja tai jos palveluhäiriöllä voisi olla rajat ylittäviä tai systeemisiä vaikutuksia.
Keskeiset ja tärkeät toimijat
Sääntelyn piiriin kuuluvat organisaatiot luokitellaan joko keskeisiksi (essential) tai tärkeiksi (important) toimijoiksi.
1. Keskeiset toimijat (Essential Entities)
Koskee seuraavien toimialojen suuria yrityksiä (keskisuuret toimijat näillä aloilla luokitellaan tärkeiksi toimijoihin):
- Energia: Sähkö, öljy, maakaasu, kaukolämmitys ja -jäähdytys, vety sekä latauspisteiden tarjoajat.
- Liikenne: Ilma-, rautatie-, vesi- ja maantieliikenne.
- Pankki- ja finanssiala: Luottolaitokset, kauppapaikkojen ylläpitäjät ja keskusvastapuolet.
- Terveys: Terveydenhuoltopalvelujen tarjoajat, laboratoriot, lääkkeiden tutkimus/kehitys ja valmistus.
- Vesihuolto: Juomaveden jakelu ja jäteveden keruu/käsittely.
- Digitaalinen infrastruktuuri: DNS-palvelut, TLD-rekisterit, pilvipalvelut, datakeskukset, CDN-verkot sekä televiestintä.
- B2B-tietotekniikan hallinta: Hallintapalveluntarjoajat (MSP) ja tietoturvapalveluntarjoajat (MSSP).
- Julkishallinto: Julkisen sektorin viranomaiset ja organisaatiot.
- Avaruus: Maanpäällisen avaruusinfrastruktuurin ylläpitäjät.
2. Tärkeät toimijat (Important Entities)
Koskee seuraavien toimialojen suuria ja keskisuuria yrityksiä:
- Posti- ja kuriiripalvelut
- Jätehuolto (jätteiden keruu, käsittely ja kierrätys)
- Kemikaalit (valmistus, tuotanto ja jakelu)
- Elintarvikkeet (teollinen tuotanto, jalostus ja tukkukauppa)
- Valmistus: Lääkinnälliset laitteet, tietokoneet, elektroniikka, sähkölaitteet, moottoriajoneuvot ja muut kulkuneuvot.
- Digitaaliset palvelut: Verkkokaupat, hakukoneet ja sosiaalisen median alustat.
- Tutkimustoiminta
- Verkkotunnusten rekisteröintipalvelut
[!IMPORTANT] Toimitusketjun turvallisuus (Supply Chain Security): NIS2 velvoittaa organisaatiot varmistamaan myös alihankkijoidensa kyberturvallisuuden. Jos olet NIS2-alaisen organisaation kriittinen toimittaja tai alihankkija, sinuun tullaan kohdistamaan tiukkoja tietoturvavaatimuksia, vaikkei yrityksesi itsessään kuuluisi direktiivin soveltamisalaan.
Mitä vaatimuksia NIS2-direktiivi sisältää?
Direktiivi edellyttää organisaatioilta jatkuvaa riskienhallintaa ja nopeaa raportointia.
1. Kyberturvallisuuden riskienhallinta
Organisaatiolla on oltava käytössä riskienhallintamalli, joka kattaa vähintään seuraavat osa-alueet:
- Politiikat ja riskianalyysit: Kirjalliset tietoturvapolitiikat ja säännölliset tietoturvariskien arvioinnit.
- Poikkeamien käsittely: Valmiit prosessit häiriötilanteiden havaitsemiseen, eristämiseen ja selvittämiseen.
- Toiminnan jatkuvuus: Varmuuskopiointi, palautumissuunnitelmat, katastrofivalmius ja kriisijohtaminen.
- Toimitusketjun turvallisuus: Riskienarviointi suhteessa suoriin toimittajiin ja palveluntarjoajiin.
- Turvallinen tuotekehitys: Tietoturvan huomioiminen järjestelmien hankinnassa, kehittämisessä ja ylläpidossa (security by design).
- Tehokkuuden arviointi: Jatkuva mittaaminen, testaus ja auditointi hallintatoimenpiteiden toimivuuden varmistamiseksi.
- Kyberhygieniakoulutus: Henkilöstön säännöllinen kouluttaminen tunnistamaan kyberuhkia (kuten kalastelusähköposteja).
- Kryptografia ja salaus: Vahvan salauksen hyödyntäminen tiedonsiirrossa ja tallennuksessa.
- Pääsynhallinta: Vähimpien oikeuksien periaatteen noudattaminen, monivaiheinen todennus (MFA) ja pääkäyttäjäoikeuksien valvonta.
2. Ilmoitusvelvollisuus merkittävistä poikkeamista
Jos organisaatiossa tapahtuu merkittävä tietoturvaloukkaus tai poikkeama, siitä on ilmoitettava valvovalle viranomaiselle (Suomessa Traficomin Kyberturvallisuuskeskus) kolmessa vaiheessa:
- Ensi-ilmoitus (24h): Tehtävä 24 tunnin sisällä poikkeaman havaitsemisesta.
- Jatkoilmoitus (72h): Tehtävä 72 tunnin kuluessa, sisältäen tarkemman arvion tilanteesta.
- Loppuraportti (1 kk): Tehtävä kuukauden kuluessa, sisältäen kuvauksen poikkeaman syistä ja tehdyistä korjaavista toimista.
3. Seuraamusmaksut
Direktiivin laiminlyönnistä voidaan määrätä tuntuvia hallinnollisia seuraamusmaksuja:
- Keskeiset toimijat: Enintään 10 000 000 € tai 2 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta (kumpi tahansa on suurempi).
- Tärkeät toimijat: Enintään 7 000 000 € tai 1,4 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta (kumpi tahansa on suurempi).
Miten voit täyttää NIS2-direktiivin vaatimukset?
Tekven asiantuntijoilla on syvällistä käytännön kokemusta tietoturvan johtamisesta ja standardien (kuten ISO 27001) implementoinnista, joiden periaatteet vastaavat pitkälti NIS2-vaatimuksia.
Autamme organisaatiotasi saavuttamaan vaatimustenmukaisuuden selkeällä, 6-vaiheisella prosessilla:
- Nykytilan arviointi (Gap-analyysi): Selvitämme nykyisen kyberturvallisuuden tasonne ja tunnistamme puutteet suhteessa NIS2-vaatimuksiin.
- Riskienhallinnan kehittäminen: Rakennamme organisaatiollesi toimivan riskienarviointiprosessin, jolla tunnistat ja priorisoit tietoturvauhat.
- Tietoturvapolitiikkojen päivitys: Laadimme ja päivitämme tarvittavat tietoturvapolitikat, toimintaohjeet ja toipumissuunnitelmat.
- Henkilöstön ja johdon koulutus: Järjestämme käytännönläheistä kyberturvakoulutusta tietoisuuden parantamiseksi.
- Toimitusketjun arviointi: Varmistamme, että alihankkijanne ja yhteistyökumppaninne täyttävät tarvittavat tietoturvakriteerit.
- Poikkeamien hallintaprosessi: Määritämme selkeät prosessit poikkeamien havaitsemiseksi, käsittelemiseksi ja vaaditussa ajassa raportoimiseksi.