Onko yrityksesi valmistautunut EU:n NIS2-kyberturvallisuusdirektiiviin?

NIS2-direktiivi, eli EU:n kyberturvallisuusdirektiivin velvoitteet, astuu voimaan 18.10.2024 ja koskee velvoittavana lukuisia toimialoja. Käytännössä velvoitteet tuodaan kansalliseen lainsäädäntöön lakina kyberturvallisuuden riskienhallinnasta. Riskienhallinta onkin kuvaava nimi määrittelemään sitä, mistä kokonaisuudessa on kysymys.

Direktiivin taustalla on Euroopan komission halu parantaa EU:n ja sen jäsenvaltioiden varautumista kyberuhkiin. Digitaalinen kehitys on jatkunut vuosia voimakkaana ja COVID-19 pandemia vauhditti sitä edelleen. Samanaikaisesti kyberloukkausten määrä on jatkuvasti kasvanut ja kehittynyt. Kyberturvahäiriöt vaikeuttavat markkinoiden toimintaa ja heikentävät käyttäjien luottamusta talous- ja yhteiskuntaelämään. Uudella direktiivillä pyritään vaikuttamaan näihin eri osa-alueiden parempaan hallintaan.

NIS2-direktiivin neljä keskeistä kohtaa ovat

• Kyberriskien hallinta
• Raportointi merkittävistä poikkeamista
• Johdon vastuu
• Velvoitteiden toteuttamisen valvonta

Kyberriskien hallinta

Kyberturvallisuusdirektiivin mukaan yrityksen on tunnistettava, arvioitava ja hallittava toimintaansa kohdistuvia kyberriskejä.

Hyvän riskienhallinnan periaatteiden mukaisesti yrityksellä tulee olla käytössään kyberturvallisuuden riskinhallinnan toimintamalli. Parhaassa tapauksessa riskienhallinnan toimintamalli on integroituna yrityksen muuhun riskienhallintamalliin, eikä kyberriskejä tarkastella muusta liiketoiminnasta irrallisina riskeinä.

Raportointi merkittävistä poikkeamista

Yrityksen on ilmoitettava viipymättä valvovalle viranomaiselle merkittävästä poikkeamasta kyberympäristössään.

Ensi-ilmoitus on tehtävä 24 tunnin kuluttua poikkeaman havaitsemisesta ja jatkoilmoitus 72 tunnin kuluessa. Loppuraportti poikkeamasta tulee tehdä kuukauden kuluessa jatkoilmoituksen toimittamisessa tai pitkäkestoisen poikkeaman kohdalla kuukauden kuluttua sen käsittelyn päättymisestä.

Yrityksen ilmoitusvelvollisuus ei kuitenkaan rajoitu vain viranomaiseen, vaan sen on myös ilmoitettava viipymättä merkittävästä poikkeamasta palvelujensa vastaanottajille, jos merkittävä poikkeama todennäköisesti haittaa yrityksen palvelujen tarjoamista.

Johdon vastuu kyberturvallisuuden riskienhallinnassa

Johdolla tarkoitetaan yrityksen hallitusta, hallintoneuvostoa, toimitusjohtajaa, tai muussa niihin rinnastettavassa asemassa olevaa, sekä toimitusjohtajan välittömään alaisuuteen kuuluvissa tehtävissä toimivia tahoja.

NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee myös olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan. Direktiivin mukaan yrityksen johdon velvollisuus on osallistua kyberturvallisuuskoulutukseen.

Valvonta

Laki antaa valvovalle viranomaiselle laajat ennakko- ja jälkivalvonnan valtuudet. Valvonta käsittää muun muassa laajan tiedonsaanti- ja tarkastusoikeuden sekä mahdollisuuden tehdä turvallisuusauditointeja. Oikeudet koskevat sekä toimintamalleja että tietoaineistoja, myös salassa pidettäviä.

Muuta huomioitavaa

Yritysten velvollisuutena olisi itse tunnistaa, kuuluvatko he sääntelyn soveltamisalaan, sekä ilmoittautua valvovalle viranomaiselle toimijaluetteloon. Tätä ei siis voi jättää valvovan viranomaisen määriteltäväksi.

Mitä jos yrityksesi ei kuulu uuden lain soveltamispiiriin kuuluva toimija? Myös tässä tapauksessa lain velvoitteet saattavat ulottua toimintaasi, jos esimerkiksi toimit alihankintasuhteessa lain piirissä olevaan yritykseen.

Äärimmäisessä tilanteessa velvoitteiden laiminlyönti voi johtaa johdon toiminnan rajoittamiseen, sekä seuraamusmaksuun, joka voi olla enimmillään 10 000 000 euroa tai 2 prosenttia yrityksen edellisen tilikauden kokonaisliikevaihdosta sen mukaan kumpi näistä on suurempi.

Miten Kiwa voi auttaa sinua valmistautuessasi lain voimaantuloon?

Tietoturvallisuuden hallintamallin standardissa, ISO/IEC 27001 tietoturvariskien hallinta on aivan keskiössä. Laki ei tule velvoittamaan yrityksiltä sertifiointia, mutta huomioiden standardin riskilähtöisyyden, standardin mukainen tietoturvallisuuden hallintamalli ja sertifioituminen luovat yritykselle erinomaisen rungon riskienhallintaan ja ylimmälle johdolle näkyvyyden riskienhallinnan tilaan.

Pohjoismaiden johtavana ISO/IEC 27001 standardin sertifioijana Kiwa on luonnollinen sertifiointikumppani > lisätietoja ISO 27001 sertifioinnista

Jos kaipaat lisävarmuutta hallintamallin rakentamisessa, Kiwa tarjoaa kattavan koulutuksen standardin ymmärtämiseksi > katso kaikki tietoturvallisuuden koulutuksen tästä 

NIS2-direktiivistä puhuttiin myös paljon Tietoturvallisuuden Kiwa Livessä > Katso koko tallenne nettisivuiltamme