NIS 2.0 – Tuo karmiva direktiivimörkö, mikä ihme se on?
NIS 2.0 on direktiivimörkö EU:sta, jonka tarkoituksena on parantaa kriittisten toimijoiden tietoturvaa. Tässä tekstissä kerromme siitä, mikä ihme tuo NIS 2.0 on, miten ja mihin yrityksiin se vaikuttaa sekä milloin se astuu voimaan.
Mikä on NIS 2.0?
NIS2-direktiivi on toinen verkko- ja tietojärjestelmädirektiivi, joka on joukko säädöksiä, jotka Euroopan unioni on toteuttanut parantaakseen kyberturvallisuutta kaikissa jäsenvaltioissa.
Direktiivin tavoitteena on nostaa verkko- ja tietoturvan tasoa EU:ssa asettamalla säädöksiä keskeisten palvelujen toimijoille (kuten energia- ja kuljetusyhtiöille) että digitaalisten palvelujen tarjoajille (kuten verkkokauppapaikat ja hakukoneet) suojatakseen heidän verkkonsa ja järjestelmänsä kyberuhilta. Direktiivissä on myös perustettu yhteistyöryhmä parantamaan tietoa ja parhaiden käytäntöjen jakamista jäsenvaltioiden välillä, ja siinä edellytetään, että jäsenvaltiot perustavat kansallisen toimivaltaisen viranomaisen valvomaan direktiivin täytäntöönpanoa ja varmistamaan sen noudattamista.
Kuinka direktiivi tulee vaikuttamaan yrityksiin?
NIS2-direktiivi vaikuttaa yrityksiin monin tavoin.
Ensinnäkin keskeisten palveluiden toimijat (kuten energia- ja kuljetusyhtiöt) tai digitaalisten palvelujen tarjoajiksi (kuten verkkokauppapaikat ja hakukoneet) nimetyiltä yrityksiltä vaaditaan erityistoimenpiteitä verkkojensa ja järjestelmiensä suojaamiseksi kyberuhilta. Näihin toimenpiteisiin voi sisältyä turvallisuusperiaatteiden ja -menettelyjen täytäntöönpano, säännöllisten riskinarviointien suorittaminen ja tietyntyyppisten vaaratilanteiden ilmoittaminen kansalliselle toimivaltaiselle viranomaiselle.
Toiseksi yritysten tulee ilmoittaa kansalliselle toimivaltaiselle viranomaiselle kaikista tapauksista, jotka vaikuttavat merkittävästi niiden keskeisten palveluiden jatkuvuuteen tai digitaalisten palveluidensa tarjontaan. Heidän on myös ilmoitettava asiakkailleen ja muille asianosaisille, jos tapahtuu jotain, joka voi vaikuttaa heidän asiakkaidensa henkilötietoihin.
Kolmanneksi yritysten on noudatettava tiukkoja turvallisuusstandardeja ja vaatimuksia verkkojensa ja järjestelmiensä suojaamiseksi. Heidän on myös ryhdyttävä toimenpiteisiin keskeisten palveluidensa jatkuvuuden varmistamiseksi tietoturvaongelman sattuessa. Lopuksi yritysten on tehtävä yhteistyötä ja jaettava tietoja kansallisen toimivaltaisen viranomaisen ja muiden alansa yritysten kanssa parantaakseen yleistä turva-asentoaan.
Kaiken kaikkiaan NIS2-direktiivi asettaa yrityksille uusia velvollisuuksia suojata verkkojaan ja järjestelmiään kyberuhilta ja reagoida nopeasti ja tehokkaasti tietoturvaloukkauksiin. Se edellyttää, että ne investoivat kyberturvallisuuteen ja varmistavat, että tarvittavat resurssit ovat käytössä näiden uusien vaatimusten täyttämiseksi.
Mihin yrityksiin tarkalleen NIS2 vaikuttaa?
NIS2-direktiivi vaikuttaa yrityksiin, jotka on nimetty keskeisten palvelujen tarjoajiksi tai digitaalisten palvelujen tarjoajiksi.
Keskeisten palvelujen tarjoajilla tarkoitetaan yrityksiä, jotka tarjoavat kriittisen yhteiskunnallisen ja/tai taloudellisen toiminnan ylläpitämisen kannalta välttämättömiä palveluita. Esimerkkejä tällaisista palveluista ovat energia-, liikenne-, vesi-, pankki- ja rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri, kuten Internet-vaihtopisteet. Digitaaliset palveluntarjoajat määritellään yrityksiksi, jotka tarjoavat verkkokauppapaikkoja, online-hakukoneita ja pilvipalveluita.
Käytännössä tämä tarkoittaa, että energian, liikenteen, terveydenhuollon, rahoituksen ja digitaalisen infrastruktuurin kaltaisilla aloilla toimiviin yrityksiin sovelletaan NIS2-direktiivin vaatimuksia, samoin kuin yrityksiin, jotka tarjoavat online-markkinapaikkoja, online-hakukoneita ja pilvipalveluita.
On tärkeää huomata, että jäsenvaltiot määrittelevät tietyt luettelot olennaisten palvelujen operaattoreista ja digitaalisten palvelujen tarjoajista, joten tarkat yritykset, joihin tämä vaikuttaa, voivat vaihdella maittain.
Milloin direktiivi astuu voimaan?
Direktiivi on astunut voimaan 27.12.2022, kuitenkin jäsenmailla on direktiivin voimaantulosta 21 kuukautta aikaa saattaa säännökset osaksi kansallista lainsäädäntöä. Liikenne- ja viestintäministeriö käynnisti 2.1.2023 kansallisen toimeenpanohankkeen uuden direktiivin velvoitteiden saattamiseksi osaksi kansallista lainsäädäntöä. Kansallinen toimeenpano tehdään laajassa poikkihallinnollisessa yhteistyössä.
Jäämme mielenkiinnolla odottamaan milloin lainsäädäntöä muutetaan tämän osalta ja se tulee vaikuttamaan myös yllä olevien toimijoiden kyberturvallisuuden parantamiseen. TNNet tulee seuraamaan tilannetta aktiivisesti ja kerromme blogeissamme, kun yrityksien pitää alkaa kehittämään omaa kyberturvallisuuttaan.
Lisätietoa direktiivistä löytyy: https://valtioneuvosto.fi/hanke?tunnus=LVM044:00/2022
Jos asiaa jää askarruttamaan sinua, suosittelemme olemaan yhteydessä myyntiimme, joka mielellään kertoo lisää direktiivistä ja siitä kuinka se vaikuttaa yrityksenne toimintaan.