Kyberturvallisuuslain soveltaminen alkaa pian – tiedätkö jo mikä on NIS2 -direktiivi ja keitä se koskee?
28.06.2024
Mikä on NIS2 ja keitä se koskee?
Lyhenne NIS tulee sanoista ‘’Network and Information Security’’. NIS2-direktiivi on Euroopan unionin kyberturvallisuusdirektiivi, jonka tavoitteena on varmistaa kyberturvallisuuden yhteinen taso kaikkialla EU:ssa. Se saatetaan osaksi kansallista lainsäädäntöä kyberturvallisuuslailla, jonka soveltaminen alkaa lokakuussa 2024.
Soveltamisalaan kuuluvien toimijoiden on jatkossa arvioitava ja hallittava riskejä, joita kohdistuu niiden käyttämien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Lisäksi toimijoiden tulee ilmoittaa viranomaisille merkittävistä poikkeamista viestintäverkoissa ja tietojärjestelmissä.
NIS2-direktiivi koskee varsinkin yhteiskunnallisesti kriittiseksi määriteltyjä organisaatioita, jotka toimivat mm. seuraavilla toimialoilla:
- energia ja liikenne
- tieto- ja viestintätekniikan palvelut
- terveydenhuolto
- eräiden tuotteiden valmistus
- jätehuolto
- elintarvikeala
- digitaalisen infrastruktuurin tarjoajat
Direktiivi koskee lähtökohtaisesti keskisuuria ja suuria toimijoita yllä mainituilla aloilla. Vaikka yritys itse ei toimisikaan suoraan kriittisellä toimialalla, voivat NIS2-direktiivin vaatimukset tulla sovellettaviksi hankintaketjun kautta.
Kyberturvallisuutta koskevan lainsäädännön keskeisimmät vaatimukset
NIS2- direktiivin keskeiset vaatimukset ovat tiivistettynä:
- Hallinnollinen tietoturvallisuus: organisaatiolla on oltava kriittiset toiminnot kattava tietoturvallisuuden hallintamalli
- Säännöllinen riskienhallintaprosessi
- Riittävä tietoturvallisuuden taso ja toimenpiteet tietoturvan toteuttamiseksi
- Toimivan johdon vastuu tietoturvasta
NIS2-direktiivi velvoittaa organisaatioita ilmoittamaan havaitsemistaan merkittävistä tietoturvapoikkeamista toimivaltaiselle viranomaiselle, ja tietyissä tilanteissa myös asiakkailleen.
Soveltamisalaan kuuluvien yritysten on myös varmistettava, että heidän käyttämänsä alihankkijat noudattavat NIS2-direktiivin määräyksiä, ja tarvittaessa varmistettava sopimuksin toimitusketjun sitoutuminen vaatimuksiin. Yrityksen toimivan johdon tulee hyväksyä kyberturvallisuusriskien hallintatoimenpiteet ja valvoa niiden täytäntöönpanoa. Johto on viime kädessä vastuussa siitä, jos organisaatio ei noudata direktiivin tietoturvavaatimuksia.
Organisaatioiden on syytä kouluttaa henkilöstöään tietoturvallisista toimintatavoista sekä huolehdittava, että toimintamallit ja tietoturvatyökalut ovat ajan tasalla. Direktiivin noudattamatta jättämisestä voi seurata merkittävät sanktiot – suuruusluokaltaan jopa 2 % yhtiön globaalista liikevaihdosta tai vähintään 10 miljoonaa euroa.
Lexia apuna NIS2-direktiivin soveltamisessa
Kaipaatko apua tunnistaaksesi, kuuluuko organisaatiosi NIS2-direktiivin soveltamisalaan tai sitouttaaksesi alihankkijat noudattamaan direktiivin vaatimuksia? Neuvomme mm. näissä kysymyksissä sekä siinä, miten valmistautua NIS2-direktiivin vaatimuksiin. Varmistamme, että liiketoimintalähtöiset ratkaisumme tukevat yrityksesi kasvua!
Teksti ja lisätiedot: Erika Leinonen, Counsel, [email protected]
