Uusi NIS2 tietoturvadirektiivi laajentaa edeltäjänsä soveltamisalaa ja asettaa tiukempia vaatimuksia kyberturvallisuuden hallintaan. Direktiivi astuu voimaan 18.10.2024 ja koskee laajaa joukkoa suomalaisia yrityksiä ja julkishallinnon toimijoita. Lue lisää siitä, mitä NIS2 tarkoittaa ja miten se vaikuttaa organisaatioihin.

NIS2-direktiivi ja siihen liittyvä laki korostaa yrityksen johdon vastuuta tietoturvasta. Organisaatioilta edellytetään kyberturvallisuusriskien tunnistamista ja niihin liittyviä hallintatoimenpiteitä. Useat näistä hallintatoimenpiteistä liittyvät erilaisten tietoturvaan liittyvien käytäntöjen määrittelemiseen ja kuvaamiseen.

Lisäksi NIS2 tuo organisaatioille velvollisuuden raportoida tietoturvapoikkeamista Kyberturvallisuuskeskukselle matalalla kynnyksellä. Ensitieto poikkeamasta pitää tehdä viranomaisille jo vuorokauden sisällä sen havaitsemisesta.

Keitä NIS2 koskee?

Eräs merkittävimmistä muutoksista, joita NIS2 tuo edeltäjäänsä verrattuna on sen soveltamisala. Mukaan on tullut täysin uusia toimialoja, kuten esimerkiksi posti- ja kuriiripalvelut, elintarvikeala ja valmistava teollisuus. Merkittävä muutos on myös julkishallinnon lisääminen sääntelyn piiriin. Alla olevassa taulukossa näkyy vertailu toimialoista joita NIS ja NIS2 sääntelee.

 

NIS NIS2
  • Energia​
  • Liikenne​
  • Pankkiala​
  • Finanssimarkkinoiden infrastruktuuri​
  • Terveydenhuoltoala​
  • Juomaveden toimittaminen​
  • Digitaalinen infra​
 Erittäin kriittiset toimialat

  • Energia​
  • Liikenne​
  • Pankkitoiminta​
  • Finanssimarkkinoiden infrastruktuuri​
  • Terveys​
  • Juomavesi​
  • Jätevesi​
  • Digitaalinen infra​
  • ICT-palvelut​
  • Julkishallinto​
  • Avaruus​

Muut kriittiset toimialat

  • Posti- ja kuriiripalvelut​
  • Jätehuolto​
  • Kemikaalien valmistus, tuotanto ja jakelu​
  • Elintarvikkeiden valmistus tuotanto ja jakelu​
  • Valmistus​
  • Digitaaliset palveluntarjoajat​
  • Tutkimustoiminta​

NIS2 direktiivi koskee muutamaa poikkeusta lukuun ottamatta organisaatioita, joissa on yli 50 työntekijää tai joiden liikevaihto on yli 10 miljoonaa euroa. 

 

Mitä organisaatioilta vaaditaan?

NIS2-laissa hahmotellaan miten organisaatioiden tietoturvan hallinnan toimenpiteitä tulisi tehdä riskiarvioihin pohjautuen. Kyberturvallisuuden riskienhallintalain 7 § tiivistää vaatimukset seuraavasti:

Toimijalla on oltava käytössä ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli viestintäverkkojen ja tietojärjestelmien ja niiden fyysisen ympäristön suojaamiseksi poikkeamilta ja niiden vaikutuksilta.”.

Lisäksi tietoturvapoikkeamien käsittelyyn tulee olla määritelty prosessi. Koko tätä kokonaisuutta kutsutaan usein tietoturvan hallintajärjestelmäksi tai ISMS:ksi (Information Security Management System). Kuten NIS2-direktiivin ja edeltäneen NIS-direktiivin johdanto-osassa käy ilmi, direktiivi on tehty varmistamaan kriittisten toimintojen jatkuvuus EU-alueella. Siksi jatkuvuudenhallinta korostuu NIS2:n vaatimuksissa.

Tietoturvan hallintajärjestelmä, riskiarviot ja jatkuvuudenhallinta voi kuulostaa vaikeasti lähestyttävältä ja korkealentoiselta. Asiat itsessään eivät kuitenkaan ole kovin monimutkaisia. Tietoturvan johtamisjärjestelmä on lopulta kokoelma käytäntöjä ja ohjeistuksia joiden tarkoituksena on varmistaa se, että organisaatio toimii tietoturvallisesti.

Kaikilla yrityksillä on joitakin tietoturvaan liittyviä ohjeita ja käytäntöjä, joten voidaan hyvin sanoa, että kaikilla organisaatioilla on tietoturvan johtamisjärjestelmä. NIS2-laki sitten määrittelee minimitason sille, mitä asioita tietoturvan johtamisjärjestelmässä pitää olla huomioituna.

 

 

Onko käyttäjien identiteetit, laitteet ja data turvattu yrityksessänne? Tästä pikamanuaalista löydät käytännönläheiset vinkit tietoturvan parantamiseksi.

LATAA OPAS

NIS2 korostaa ylimmän johdon vastuuta tietoturvasta

Keskeisin asia on se, että organisaation ylin johto kiinnittää huomiota tietoturvaan. Tätä korostaa NIS2-direktiivin 20. artikla ja siihen perustuva NIS2-lain 10 § jossa sanotaan:

Toimijan johto vastaa kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.”.

Itse direktiivin 20. artiklan 2. kappaleessa viedään tämä vaatimus jopa pidemmälle kun siinä sanotaan:

Jäsenvaltioiden on varmistettava, että keskeisten ja tärkeiden toimijoiden hallintoelinten jäsenillä on velvollisuus osallistua koulutukseen, ja kannustettava keskeisiä ja tärkeitä toimijoita tarjoamaan säännöllisesti vastaavaa koulutusta työntekijöilleen, jotta he voivat hankkia riittävät tiedot ja taidot kyetäkseen tunnistamaan riskejä ja arvioimaan kyberturvallisuusriskien hallintakäytäntöjä ja niiden vaikutusta toimijan tarjoamiin palveluihin.

NIS2-laki kuitenkin jättää koulutusvaatimuksen pois ja korvaa sen vaatimuksella riittävästä perehtyneisyydestä kyberturvallisuuden riskienhallintaan.

Mikäli jo nykyään johtoryhmän palavereiden esityslistalla on säännöllisesti riskienhallintaa ja tietoturvaan liittyviä aiheita ja nämä asiat esiintyy myös yrityksen hallituksen vuosikellossa, yrityksellä on hyvät edellytykset sille että NIS2:n mukanaan tuomat velvoitteet ei aiheuta suunnatonta päänvaivaa. Jos ei vielä ole, niitä kannattaa näitä aiheita ottaa johdon säännöllisesti käsiteltävien asioiden listalle.

 

ISO-sertifioitu johtamisjärjestelmä ei ole vaatimus

Aika ajoin kuulee väitteitä, että NIS2-direktiivin vaatimusten täyttäminen vaatisi ISO27001:een perustuvan tietoturvan johtamisjärjestelmän, hurjimpien väitteiden mukaan tuo johtamisjärjestelmä pitäisi olla jopa sertifioitu. Nämä väitteet ei yksinkertaisesti pidä paikkaansa. NIS2 ja ISO27001 käsittelevät toki samoja asioita, joskin ISO27001 paljon tarkemmalla tasolla.

NIS2-direktiivi sen paremmin kuin NIS2-lakikaan ei kuitenkaan vaadi minkään tietyn standardin noudattamista. NIS2-direktiivin johdanto-osan 79. kappale kyllä mainitsee että riskienhallintatoimenpiteiden tulee olla kokonaisvaltaisia ja niihin tulee sisällyttää toimenpiteitä eurooppalaisista tai kansainvälisistä standardeista, kuten ISO/IEC 27000 -sarjan standardeista, mutta varsinaiseen direktiiviin ei ole lisätty viittausta mihinkään tietoturvan johtamisjärjestelmästandardiin.

NIS2-lain esittelytekstissä ei ole edes tällaista toteamusta. Siinä viitataan ainoastaan kolme kertaa ISO27001:aan ja nämä kaikki kerrat liittyy jonkin termin määritelmään.

Toisaalta yritykset joilla on jokin kansainväliseen standardiin perustuva tietoturvan johtamisjärjestelmä käytössä ovat todennäköisesti huomioineet jo suuren osan NIS2:n vaatimuksista.

Yhteenveto

NIS2-direktiivi ja siihen perustuva lainsäädäntö koskee suurta määrää organisaatioita. Tietoturvariskien hallinnalle asetetaan tiukkojakin vaatimuksia. Toisaalta ne organisaatiot, joiden johdossa ollaan jo ennen NIS2-direktiiviä oltu kiinnostuneita tietoturvasta ovat todennäköisesti jo toteuttaneet monia näistä vaadituista hallintakeinoista.

Vaikka NIS2:n vaatiman tietoturvariskien hallinnan tason saavuttaminen voi tuoda joitakin kuluja yrityksille, ne ovat asioita joita kannattaa tehdä. Vakavien tietoturvapoikkeamien aiheuttamat kulut ovat joka tapauksessa paljon suurempia kuin varautumisen kulut.

Kuluista puheenollen, lain valmistelun yhteydessä tehtiin kattava raportti NIS2:n aiheuttamista kuluista organisaatioille. Voit ladata raportin itsellesi Valtioneuvoston NIS2-työryhmän sivulta tai suoraan tästä linkistä.

Eetu Salpaharju, tietoturvapäällikkö, Tietokeskus

Sinua saattaisi kiinnostaa myös