NIS2-direktiivi ja sen vaikutukset yrityksille

NIS2-direktiivi (EU 2022/2555, direktiivi toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa) korvaa NIS-direktiivin. Se pyrkii kasvattamaan sekä yksityisen että julkisen sektorin toimijoiden kyberhyökkäysten sietokykyä

Direktiivi määrittelee turvallisuusvaatimuksia toimijoille, rikkomuksista määrättävien seuraamukset, sekä kansalliset ja EU:n mekanismit kyberturvallisuuden tilannekuvan ylläpitämiseksi.

NIS2-direktiivi toteutetaan Suomessa Kyberturvallisuuslailla. Lain soveltaminen oli tarkoitus alkaa 18.10.2024, mutta se on tällä hetkellä valiokuntakäsittelyssä eikä päivitettyä aikataulua ole vielä ilmoitettu.

NIS2-direktiivin keskeiset vaatimukset

Toimijoilta vaadittavista toimenpiteistä keskeisin on riskiarviointi. Arvioinnin perusteella on tehtävä toimintamalli, eli kyberturvallisuuden johtamisjärjestelmä, suojaamaan verkko- ja tietojärjestelmiä ja näiden fyysistä ympäristöä poikkeamilta. Toimintamallissa on otettava huomioon muun muassa

Tietoturvatapahtumien ehkäiseminen, havaitseminen ja niihin reagointi
Toimitusketjujen turvallisuuden varmistaminen
Verkko- ja tietojärjestelmien turvallisuuden varmistaminen hankinnasta kehitys- ja ylläpitovaiheisiin asti
Kyberturvallisuusriskien hallintakäytäntöjen tehokkuuden arvioiminen
Toiminnan jatkuvuudenhallinta ja kriisinhallinta
Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
Pääsynhallinta
Omaisuudenhallinta
Tilojen fyysinen turvallisuus
Kryptografian ja salauksen käyttö

Lisäksi toimijoilta edellytetään raportointia merkittävistä kyberturvallisuuspoikkeamista.

Johdon vastuu

Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Lakiesityksen mukaan johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa sekä muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa organisaation toimintaa.

Keitä NIS2-direktiivi koskee

NIS1-direktiiviin verrattuna NIS2 on laajentunut koskemaan useita yhteiskunnan toiminnan kannalta kriittisiä toimialoja, kuten energian tuotanto ja jakelu, juomaveden käsittely, jätehuolto, logistiikka, kemikaalien ja ruoan tuotanto ja jakelu, sekä tietyt valmistavan teollisuuden alat. Finanssitoimialalle vastaavia määräyksiä annetaan DORA-asetuksessa.

Direktiivissä kohteena olevat organisaatiot jaetaan keskeisiin ja tärkeisiin toimijoihin muun muassa koon ja toimialan perusteella. Esimerkiksi CER-direktiivin kriittiset toimijat kuuluvat NIS2-direktiivin luokittelussa keskeisiin toimijoihin.

Toimijoilta odotetaan kaikkien vaaratekijöiden huomioon ottavaa riskiarviointia ja toimintamallia suojaamaan verkko- ja tietojärjestelmiä ja näiden fyysistä ympäristöä poikkeamilta. Riskejä arvioitaessa on huomioitava missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus. Toimijan oman toiminnan lisäksi pitäisi huomioida myös yhteiskunnalliset ja taloudelliset vaikutukset.

NIS2 koskee toimijoita seuraavilla toimialoilla

Erittäin kriittiset toimialat

Pankkitoiminta

Terveys

Juomavesi

Energia

Finanssimarkkinoiden infrastruktuurit

Tieto- ja viestintätekniikka

Digitaalinen infrastruktuuri

Julkishallinto

Avaruus

Liikenne

Jätevesi

Muut kriittiset toimialat

Digitaalisten palveluiden tarjoajat (verkkokaupat, hakukoneet, sosiaalisen median alustat)

Ruoan tuotanto, jalostus ja jakelu

Kemikaalien tuotanto, valmistus ja jakelu

Valmistus

Posti- ja kuriiripalvelut

Jätehuolto

Tutkimustoiminta

Miten voimme auttaa

Tuemme yrityksiä NIS2-valmiuden saavuttamisessa. Palvelumme sisältävät uhka- ja riskiarviot yrityksen toimialan huomioiden, kattaen tuotannon sekä hallinnollisen tietoturvan. Tuemme tietoturvan johtamisjärjestelmän kehittämisen kaikissa eri osa-alueissa, kuten tietoturvatietoisuuden kehittämisessä, omaisuuden hallinnan kehittämisessä, jatkuvuus- ja kriisisuunnittelussa sekä suunnitelmien harjoittelussa, toimitusketjun turvallisuuden kehittämisessä sekä tietoturvapalveluiden ja -järjestelmien hankinnassa. Tietoturvan johtamisjärjestelmä voi perustua esimerkiksi standardiin ISO/IEC 27001, mutta sen käyttäminen tai sen mukaan sertifioituminen ei ole pakollista. Oleellista on, että johtamisjärjestelmä kattaa NIS2-direktiivin mukaisen toiminnan eikä esimerkiksi pelkkää ICT-ympäristön hallintaa.

Arvioimme NIS2-vaatimusten täyttymistä riippumattomasti. Voimme tehdä myös järjestelmien teknistä tietoturvatestausta ja järjestää kriisiharjoituksia.

Miksi PwC?

Tarjoamme kyberturvallisuuden palveluita kokonaisvaltaisesti tietoturvan hallintajärjestelmän, teollisuusautomaation tietoturvan ja teknisen tietoturvan näkökulmasta. Meillä on syvällinen ja ajantasainen ymmärrys kyberturvallisuuden regulaatiosta ja sen käytännön toteutuksesta. Lisäksi meillä on vahvaa osaamista eri toimialojen kyberturvallisuusuhkien ja riskien tunnistamisessa sekä niiden ehkäisemisessä.

Paikallisen tiimin lisäksi meillä on vahva globaali verkosto. Tämä globaali verkosto täydentää paikallista osaamista ja mahdollistaa siten laajemman asiantuntemuksemme hyödyntämisen. Globaali verkostomme takaa pääsyn uusimpaan tietoon ja parhaisiin käytäntöihin kyberturvallisuuden alalla ympäri maailman.