NIS2-direktiivi (EU 2022/2555, direktiivi toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa) korvaa NIS-direktiivin. Se pyrkii kasvattamaan sekä yksityisen että julkisen sektorin toimijoiden kyberhyökkäysten sietokykyä
Direktiivi määrittelee turvallisuusvaatimuksia toimijoille, rikkomuksista määrättävien seuraamukset, sekä kansalliset ja EU:n mekanismit kyberturvallisuuden tilannekuvan ylläpitämiseksi.
NIS2-direktiivi toteutetaan Suomessa Kyberturvallisuuslailla. Laki on eduskunnan käsittelyssä, ja sen soveltaminen alkaa 18.10.2024.
NIS2-direktiivin keskeiset vaatimukset
Toimijoilta vaadittavista toimenpiteistä keskeisin on riskiarviointi. Arvioinnin perusteella on tehtävä toimintamalli, eli kyberturvallisuuden johtamisjärjestelmä, suojaamaan verkko- ja tietojärjestelmiä ja näiden fyysistä ympäristöä poikkeamilta. Toimintamallissa on otettava huomioon muun muassa
- Tietoturvatapahtumien ehkäiseminen, havaitseminen ja niihin reagointi
- Toimitusketjujen turvallisuuden varmistaminen
- Verkko- ja tietojärjestelmien turvallisuuden varmistaminen hankinnasta kehitys- ja ylläpitovaiheisiin asti
- Kyberturvallisuusriskien hallintakäytäntöjen tehokkuuden arvioiminen
- Toiminnan jatkuvuudenhallinta ja kriisinhallinta
- Henkilöstöturvallisuus ja kyberturvallisuuskoulutus
- Pääsynhallinta
- Omaisuudenhallinta
- Tilojen fyysinen turvallisuus
- Kryptografian ja salauksen käyttö
Lisäksi toimijoilta edellytetään raportointia merkittävistä kyberturvallisuuspoikkeamista.
Johdon vastuu
Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.
Lakiesityksen mukaan johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa sekä muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa.
Keitä NIS2-direktiivi koskee
NIS1-direktiiviin verrattuna NIS2 on laajentunut koskemaan useita yhteiskunnan toiminnan kannalta kriittisiä toimialoja, kuten energian tuotanto ja jakelu, juomaveden käsittely, jätehuolto, logistiikka, kemikaalien ja ruoan tuotanto ja jakelu, sekä tietyt valmistavan teollisuuden alat. Finanssitoimialalle vastaavia määräyksiä annetaan DORA-asetuksessa.
Direktiivissä kohteena olevat organisaatiot jaetaan keskeisiin ja tärkeisiin toimijoihin muun muassa koon ja toimialan perusteella. Esimerkiksi CER-direktiivin kriittiset toimijat kuuluvat NIS2-direktiivin luokittelussa keskeisiin toimijoihin. Suomen Kyberturvallisuuslaissa tällaista jakoa ei ole.
Toimijoilta odotetaan kaikkien vaaratekijöiden huomioon ottavaa riskiarviointia ja toimintamallia suojaamaan verkko- ja tietojärjestelmiä ja näiden fyysistä ympäristöä poikkeamilta. Riskejä arvioitaessa on huomioitava missä määrin toimija altistuu riskeille, toimijan koko ja poikkeamien esiintymisen todennäköisyys ja niiden vakavuus. Toimijan oman toiminnan lisäksi pitäisi huomioida myös yhteiskunnalliset ja taloudelliset vaikutukset.
NIS2 koskee seuraavien toimialojen organisaatioita
Erittäin kriittiset toimialat
Pankkitoiminta
Terveys
Juomavesi
Energia
Finanssimarkkinoiden infrastruktuurit
Tieto- ja viestintätekniikka
Digitaalinen infrastruktuuri
Julkishallinto
Avaruus
Liikenne
Jätevesi
Muut kriittiset toimialat
Digitaalisten palveluiden tarjoajat (verkkokaupat, hakukoneet, sosiaalisen median alustat)
Ruoan tuotanto, jalostus ja jakelu
Kemikaalien tuotanto, valmistus ja jakelu
Valmistus
Posti- ja kuriiripalvelut
Jätehuolto
Tutkimustoiminta
Miten voimme auttaa
Tuemme yrityksiä NIS2-valmiuden saavuttamisessa. Palvelumme sisältävät uhka- ja riskiarviot yrityksen toimialan huomioiden, kattaen tuotannon sekä hallinnollisen tietoturvan. Tuemme tietoturvan johtamisjärjestelmän kehittämisen kaikissa eri osa-alueissa, kuten tietoturvatietoisuuden kehittämisessä, omaisuuden hallinnan kehittämisessä, jatkuvuus- ja kriisisuunnittelussa sekä suunnitelmien harjoittelussa, toimitusketjun turvallisuuden kehittämisessä sekä tietoturvapalveluiden ja -järjestelmien hankinnassa.
Arvioimme NIS2-vaatimusten täyttymistä riippumattomasti. Voimme tehdä myös järjestelmien teknistä tietoturvatestausta, järjestää kriisiharjoituksia.
Miksi PwC?
Tarjoamme kyberturvallisuuden palveluita kokonaisvaltaisesti tietoturvan hallintajärjestelmän, teollisuusautomaation tietoturvan ja teknisen tietoturvan näkökulmasta. Meillä on syvällinen ja ajantasainen ymmärrys kyberturvallisuuden regulaatiosta ja sen käytännön toteutuksesta. Lisäksi meillä on vahvaa osaamista eri toimialojen kyberturvallisuusuhkien ja riskien tunnistamisessa sekä niiden ehkäisemisessä.
Paikallisen tiimin lisäksi meillä on vahva globaali verkosto. Tämä globaali verkosto täydentää paikallista osaamista ja mahdollistaa siten laajemman asiantuntemuksemme hyödyntämisen. Globaali verkostomme takaa pääsyn uusimpaan tietoon ja parhaisiin käytäntöihin kyberturvallisuuden alalla ympäri maailman.
Tarvitsetko apua NIS2-direktiivin kanssa?
Ota yhteyttä asiantuntijoihimme
Katso myös
Contact us
Seuraa ja osallistu
