Olet todennäköisesti jo törmännyt uutisointiin EU:n Kyberturvallisuusdirektiivi NIS2-uudistuksesta.
Uudistuksen siirtymävaiheen päättyessä vuoden 2024 aikana aiempaa merkittävästi laajempi joukko EU-alueen yrityksiä velvoitetaan toteuttamaan asianmukaiset toimenpiteet kyberturvallisuusriskien hallitsemiseksi.
Uudistuksen on arvioitu koskevan suoraan noin 10 000 suomalaista yritystä, mutta välillinen vaikutus esimerkiksi asiakas- ja kumppanisuhteiden toimintaketjun kautta ulottuu valtaosaan yrityksiä.
Me Louhena kuulumme uudistetun direktiivin vaateiden piiriin, entä sinun yrityksesi?
NIS2 pähkinänkuoressa
NIS2-asetus on Euroopan unionin verkko- ja tietoturva-asetuksen (Network and Information Systems Directive, NIS) uudistus, joka hyväksyttiin vuonna 2022. Siirtymävaiheessa olevan muutoksen täysi soveltaminen alkaa 10.10.2024.
Uudistus on vastaus kasvavaan kyberuhkaan ja pyrkii parantamaan ja yhtenäistämään tietoturvan tasoa unionin alueella.
Direktiivin tavoitteena on, että kaikki EU:ssa toimivat yritykset, jotka tarjoavat olennaisia tai tärkeitä palveluita, ottavat kyberturvallisuuden vakavasti ja toteuttavat asianmukaiset toimenpiteet ja investoinnit riskien hallitsemiseksi.
NIS2:n vaatimusten noudattamatta jättäminen voi johtaa seuraamuksiin, kuten sakkoihin tai toimintakieltoon.
Mikä muuttuu? NIS2-uudistuksen keskeisiä muutoksia
NIS2-asetus koskee edeltäjäänsä NIS1-asetusta laajemmin myös yrityssektoria. Jokaisen organisaation onkin hyvä tarkistaa, kuuluvatko he NIS2-asetuksen soveltamisalaan.
Direktiivin piiriin kuuluvat kaikki organisaatiot, jotka tarjoavat kriittisiä palveluita, mukaan lukien digitaalisten palveluiden tarjoajat sekä tietoverkkopalveluiden tarjoajat. Lisäksi asetus koskee organisaatioita, jotka ovat riippuvaisia näistä kriittisistä palveluista.
Direktiivin piiriin jatkossa kuuluvat toimialat:
- Energia
- Liikenne
- Finanssi
- Vesihuolto
- Terveydenhuolto
- Digitaalinen infrastruktuuri
- Tietoverkkopalvelut
- Julkishallinto
- Avaruus
- Posti- ja kuriiripalvelut
- Elintarvikkeiden valmistus, tuotanto ja jakelu
- Valmistava teollisuus
- Kemiateollisuus
- Jätteenhuolto
- Digitaalisten palveluiden tarjoajat
- Tutkimustoiminta
NIS2:n vaatimusten myötä direktiivi edellyttää sitä koskettavilta organisaatioilta seuraavia toimenpiteitä:
- Kyberturvallisuusriskien arviointi
- Kyberturvallisuuspolitiikkojen ja -käytäntöjen määrittely
- Tietoturvapoikkeamien raportointi
- Tietoturvan jatkuvuussuunnittelu
- Toimitusketjun kyberturvallisuuden varmistaminen
- Kyberhygieniakäytäntöjen noudattaminen
- Kyberturvallisuuskoulutuksen järjestäminen henkilöstölle
Kaikkien organisaatioiden on hyvä valmistautua uudistukseen huomioimalla, että toimijat, joille itse välittää palvelua, tai joilta ostaa palvelua, saattavat kuulua jatkossa asetuksen alle.
NIS2 soveltamisala perustuu yrityksen tarjoamien palveluiden olennaisuuteen tai tärkeyteen, ei yrityksen kokoon. Pienemmille yrityksille on kuitenkin määritelty tiettyjä vapautuksia vastuista.
Louhi ja NIS2
Tietoturva on meille Louhella sydämen asia ja kehitämme sitä jatkuvasti. Tietoverkkopalveluita ja digitaalisia palveluita tarjoavana yrityksenä NIS2 koskettaa Louhen palveluita. Olemmekin Louhella jo pitkään tehneet toimia vastataksemme direktiivin vaatimuksiin.
NIS2-direktiiviin meillä on ollut hanke käynnissä jo vuoden verran. Toteutamme muutoksia parhaillaan ja ne ovat valmiina kun hetki koittaa.
Louhen palveluissa tullaan näkemään pieniä muutoksia, kuten yhteystietojen vahvistamista kaikkien verkkotunnusten kohdalla. Voit lukea tarkemmin NIS2-tietoturvadirektiivin soveltamisesta verkkotunnustoiminnassa Traficomin esityksestä täältä.
Valmistaudu muutokseen
Suosittelemme vakavaa suhtautumista tietoturvaan ja sen kehitykseen viimeistään nyt uuden direktiivin myötä.
Kerromme kevään sisällöissämme lisää aiheesta ja annamme käytännön vinkkejä varmistaa yrityksesi vastuulliset toimintamallit tietoturva- ja kyberuhkien torjumiseksi.
Mikäli kaipaat asiantuntijan apua NIS2-toimenpiteiden ja muiden tietoturva-asioiden kanssa, voimme suositella ekosysteemiimme kuuluvan 2NS-yrityksen palveluita. 2NS kirjoitti hiljattain NIS2-teemasta blogitekstin, jonka voit lukea täältä.