EU hyväksyi uuden The Network and Information Security 2 -direktiivin (NIS2) vuoden 2023 alussa. Tämä korvaa vuonna 2016 hyväksytyn aiemman NIS1-direktiivin ja laajentaa sen soveltamista uusille toimialoille. NIS2-direktiivin tarkoituksena on vahvistaa ja yhdenmukaistaa EU:n yhteistä kyberturvallisuustasoa. Suomessa kansallisen täytäntöönpanon määräpäivä on 17.10.2024 ja soveltaminen alkaa 18.10.2024. Organisaatioiden kannattaa valmistautua direktiivin vaatimuksiin ennen sen soveltamisen aloittamista. Ensimmäiseksi organisaation tulisi tunnistaa kuuluvatko he direktiivin piiriin. Direktiivi koskee keskeisiä ja tärkeitä toimijoita usealta toimialalta NIS2 -direktiivissä määritellään toimialat, joilla sitä on sovellettava. Lisäksi toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin. Keskeiset toimijat: Energia Liikenne Pankkitoiminta Finanssimarkkinat Terveys Juomavesi Jätevesi Tieto- ja viestintäteknologian hallinta Julkishallinto Avaruus CER-direktiivin mukaiset keskeiset toimijat Digitaalinen infrastruktuuri (DNS-palveluntarjoajat, luottamuspalvelun tarjoajat, aluetunnusrekisterit, yleisten sähköisten viestintäverkkojen tai –palveluiden tarjoajat jne.) Tärkeät toimijat: Energia Liikenne Pankkitoiminta Finanssimarkkinat Terveys Juomavesi Jätevesi Tieto- ja viestintäteknologian hallinta Julkishallinto Avaruus Digitaalinen infrastruktuuri Posti- ja kuriiripalvelut Jätehuolto Kemikaalien valmistus, tuotanto ja jakelu Elintarvikkeiden valmistus, tuotanto ja jakelu Valmistus Digitaalisten palveluiden tarjoajat Tutkimustoiminta Se, kumpaan ryhmään toimija kuuluu, määritellään työtekijöiden määrän, liikevaihdon ja taseen loppusumman perusteella. Keskeiseksi toimijaksi määritellään organisaatiot, joiden palveluksessa on yli 250 työntekijää ja joiden vuosiliikevaihto on yli 50 milj. € tai joiden taseen loppusumma on yli 43 milj. €. Tärkeillä toimijoilla rajat ovat yli 50 työntekijää, vuosiliikevaihto on yli 10 milj. € tai taseen loppusumma on yli 10 milj. € Molempia toimijoita koskee samat kyberturvallisuutta koskevat määräykset. Eroina on toisistaan poikkeavat sanktiomaksut sekä erot valvonnassa. Keskeisiin toimijoihin voidaan kohdistaa ennakkovalvontaa, jotta NIS2-direktiivin vaatimukset täyttyvät. Keskeisiin ja tärkeisiin toimijoihin voidaan kohdistaa jälkivalvontaa kyberpoikkeaman jälkeen. Mahdollisista rikkomuksista voidaan määritellä toimijalle sanktiomaksuja. Seuraamusmaksut velvoitteiden laiminlyönnistä on keskeisillä toimijoilla enintään 10 milj. € tai 2 % vuosittaisesta liikevaihdosta ja tärkeillä toimijoilla enintään 7 milj. € tai 1,4 % vuosittaisesta liikevaihdosta. Johdon vastuu kyberturvallisuudesta korostuu Direktiivi tuo velvoitteita toimijalle. Yksi näistä on raportointivelvoite merkittävästä kyberpoikkeamasta. Ensimmäinen ilmoitus on lähetettävä 24 tunnin kuluessa havainnosta valvovalle viranomaiselle. Jatkoilmoitus on tehtävä 72 tunnin kuluessa. Loppuraportti on toimitettava kuukauden kuluessa tapahtumasta. Valvova viranomainen voi pyytää tarvittaessa väliraporttia ilmoittajalta. Lisäksi viranomaisen on vastattava ilmoitukseen 24 tunnin kuluessa ja pyydettäessä annettava ohjeita poikkeamatilanteeseen. Toinen velvoitteista on tiedottaa palvelujen vastaanottajia, jos organisaatio tietää niihin kohdistuvasta merkittävästä kyberuhasta. Merkittävin velvoite, jonka NIS2-direktiivi tuo, on riskienhallintavelvoitteet. NIS2 on riskipohjainen direktiivi, joten se tarkistelee uhkia riskipohjaisesti. Tavoitteena on estää tai minimoida poikkeaminen vaikutus palveluihin. Tämä edellyttää riskianalyysia, jossa riskit tunnistetaan, niille tehdään hallintakeinot ja riski hyväksytään johdon toimesta. Tämä asettaa vaatimuksia johdolle: heillä tulee olla tarvittava osaaminen riskienhallinnasta. Tarkoituksena on, että riskejä hallitaan kokonaisuutena ja että riskienhallinta on jatkuva prosessi – ei riitä, että riskit vain tunnistetaan, mutta niitä ei käsitellä. Hallintoelinten tulee hyväksyä riskienhallintakäytännöt sekä tunnistetut riskit ja niiden hallintakeinot säännöllisin välein. Näiden vaatimusten takia johdon vastuun merkitys korostuu. Lisäksi direktiivi vaatii jatkuvuudenhallintaa, jotta palveluiden saatavuus taataan. Organisaatiolla pitää myös olla prosessit poikkeaminen käsittelyyn ja kyky havaita poikkeamia ympäristössään. Toimitusketjujen turvallisuudesta huolehtiminen mukaan direktiiviin NIS2-direktiivin artikla 21 määrittelee kyberturvallisuusriskien hallintatoimenpiteet. Merkittävimmistä muutoksista edelliseen NIS1-direktiiviin on toimitusketjujen turvallisuudesta huolehtiminen. Tämä tarkoittaa sitä, että toimittajien ja alihankkijoiden vaatimuksenmukaisuutta tulee seurata. Hallintatoimet edellyttävät, että esimerkiksi riskienhallinnan, tietoturvan, pääsynhallinnan, jatkuvuudenhallinnan politiikat ja prosessit ovat kuvattuna ja käytössä. Henkilökunnan kyberturvallisuuskoulutuksesta ja -tietoisuudesta on huolehdittu. Direktiivi itsessään on teknologianeutraali, joten se ei vaadi mitään tiettyä tapaa tai tekniikkaa, kuinka vaatimukset täytetään. Vaikka NIS2 on lakisääteinen sen piirissä oleville organisaatioille, sen käyttöönottoa ei kannata tarkastella ainoastaan pakollisten vaatimusten kautta, vaan huomioida, kuinka se parantaa organisaation kyberturvallisuutta ja riskien hallintaa. Kirjoittaja:Kimmo Iso-Aholatietoturva-asiantuntija